NotPetya: novo ransomware volta a provocar pânico às empresas

O ransomware é um tipo de malware que, após infectar um computador, impede o usuário de acessar seus arquivos e dados, cobrando um resgate financeiro da vítima para recuperá-los.

Foto via eWeek

Apesar de não ser algo tão novo entre os profissionais de segurança, a população geral teve o seu primeiro contato com o termo em maio deste ano, quando um novo ataque, de um ransomware chamado WannaCry, comprometeu milhares de computadores em mais de 150 países, virando notícia em sites e telejornais. Nesta terça-feira, um novo ransomware conhecido como NotPetya, mais sofisticado que WannaCry, voltou a atacar instituições em todo o mundo.

Como explica o analista do Centro de Atendimento a Incidentes de Segurança da RNP (CAIS), Rildo Souza, o que fez esses últimos casos de ransomwares tomarem proporções tão grandes é sua forma de se disseminar. “Existem duas formas desses novos ransomwares se espalharem, eles podem explorar uma vulnerabilidade do protocolo que é utilizado para compartilhamento de arquivos e impressoras no sistema operacional Microsoft Windows® e/ou podem utilizar as ferramentas PSEXEC e WMIC, funções do Windows que permitem a administradores a capacidade de gerenciar computadores remotamente e em massa para infectar outros hosts. Ao infectar uma única máquina em uma rede corporativa, por exemplo, o malware se espalha automaticamente para as demais. Assim, basta que o sistema operacional Windows® de um computador não esteja atualizado e/ou que as ferramentas mencionadas acima estejam habilitadas no sistema para que ele seja infectado”, afirma Rildo.

Segundo Souza, para se prevenir de ataques como este, manter o sistema operacional e o sistema antimalware atualizados são algumas das medidas a serem tomadas. Segundo ele, a vulnerabilidade explorada por ataques como o WannaCry e NotPetya teve uma correção disponibilizada pela Microsoft em março, quase dois meses antes desses ataques. No entanto, muitos administradores de sistemas não fizeram a aplicação desta correção nos computadores, deixando redes inteiras vulneráveis. “O novo ataque do ransomware NotPetya incrementou o modelo de disseminação utilizado pelo WannaCry e agora, mesmo que o usuário tenha aplicado o patch de correção da vulnerabilidade envolvendo o protocolo de compartilhamento de recursos do Windows®, ele pode ser infectado, visto que esse novo ransomware se espalha na rede local usando as ferramentas administrativas do sistema mencionas acima”, explica.

O analista de segurança do CAIS, Yuri Alexandro, acrescenta que o ransomware NotPetya é ainda mais temerário por comprometer arquivos de inicialização do sistema operacional, fazendo com que o usuário perca acesso total ao sistema após o seu reinício. “Esse malwareespecificamente cifra os arquivos da tabela de partição de inicialização do sistema, fazendo com que o usuário perca completamente o acesso, sem nem mesmo poder carregar o Windows®, já recebendo a tela de resgate financeiro ao ligar o computador, não conseguindo mais realizar nenhuma ação”, ressalta Alexandro.

Alexandro ainda alerta que, apesar desses últimos casos remeterem a infecções em ambientes que utilizam sistemas Microsoft Windows®, outros sistemas e tecnologias não estão imunes a ataques dessa natureza. “Existem casos documentados de ransomware em sistemas operacionais Linux, em dispositivos móveis, como celulares e tablets, e já em dispositivos de IoT (Internet das Coisas)”, conclui.