[Este artigo recebeu várias atualizações] Ainda a recuperar do WannaCry? Então redobre a atenção pois há uma nova vaga de ransomware a afetar várias empresas em diferentes países da Europa. Ucrânia, Rússia, Reino Unido e França já estão entre os países que tiveram organizações ou empresas afetadas. No caso da Ucrânia este está a ser descrito como o pior ataque informático alguma vez registado no país.
No caso ucraniano, e como escreve o The Guardian, o ransomware Petya já afetou a rede do governo, bancos, empresas de telecomunicações, o distribuidor da rede elétrica do país e ainda o metropolitano. Das informações até agora apuradas o caso ucraniano é de longe aquele que está a ter maiores repercussões.
A empresa de advocacia DLA Piper, a empresa de comunicação WPP Group, a fabricante de aço russa Evraz, a transportadora Maersk e o produtor de petróleo Rosneft estão entre as grandes organizações já afetadas pelo ataque de ransomware Petya. No caso da Maersk, um porta-voz da empresa já confirmou que foram afetados todos os ramos do negócio, tanto na Dinamarca, como fora do país.
Publicado às 19:08H de 29/06/2017: O caso do Petya recebeu novos desenvolvimentos e a informação principal foi condensada neste artigo: O ainda mais curioso caso do Petya
Publicado às 19:44H: Novas informações não confirmadas parecem indicar que o malware Petya/NotPetya possa ter explorado uma falha no software MeDoc, popular na Ucrânia. Através do sistema de atualização deste software terá sido depois disseminado o ransomware. Mais informações no blogue de segurança da Cisco.
Essentially what happened is MeDoc (big financial software) was hacked and they pushed out the malware via the update feature.
— MalwareTech (@MalwareTechBlog) 27 de junho de 2017
Publicado às 19:39H: De acordo com a informação pública do endereço dado para o pagamento do resgate em bitcoins, os atacantes já receberam perto de três mil dólares por parte das vítimas.
#Petya has earned the attacker 3000 BTC’s so far. Reports indicate you don’t get your data back even if you pay. https://t.co/Ls93nQVxLs 2/n
— KalyanG (@kalyangs) 27 de junho de 2017
Publicado às 19:30H: Na mensagem veiculada pelo ransomware Petya/NotPetya era disponibilizado um email para efeitos de comunicação do lado das vítimas. A empresa responsável por esse serviço de email, a Posteo, confirmou ter bloqueado o email em questão. A decisão está no entanto a levantar algumas críticas por ser, em teoria, a única forma que as vítimas têm de tentar recuperar os seus ficheiros encriptados.
New: email provider closes account of hacker behind ransomware outbreak.
… so victims can’t get decryption keys https://t.co/3IOwey075k pic.twitter.com/M9H4rfI7MJ
— Joseph Cox (@josephfcox) 27 de junho de 2017
Publicado às 19:16H: Até às 17H em Portugal continental o Centro Nacional de Cibersegurança não tinha qualquer registo de qualquer incidente relacionado com o Petya/NotPetya em Portugal, revela nota publicada no site oficial da entidade.
“O CNCS alertou, de imediato, a rede nacional de CSIRT, informando-a de que estaria a ocorrer um problema na Ucrânia e que se deveriam preparar e manter vigilância reforçada para a eventualidade do ataque atingir as redes nacionais”, lê-se na informação partilhada.
Publicado às 19:14H: O investigador de segurança informática responsável por ter ajudado a impedir uma disseminação mais feroz do WannaCry, que dá pelo nome de MalwareTech, acredita que este novo ataque pode estar a explorar uma falha nos sistemas que é mais eficaz do que a falha EternalBlue.
This only spreads via SMB over local network, which to me suggests the initial vector was something more effective than EthernalBlue.
— MalwareTech (@MalwareTechBlog) 27 de junho de 2017
Publicado às 18:51H: A empresa de segurança Kaspersky diz que ao contrário do que tem sido avançado, este ransomware não é uma variante do conhecido software Petya “mas sim um novo ransomware que nunca foi visto anteriormente”. A tecnológica russa decidiu apelidar o ransomware de NotPetya.
“Os dados telemétricos da empresa registam cerca de 2 mil utilizadores atacados até ao momento. As organizações na Rússia e na Ucrânia são as mais afetadas, no entanto foram registados ataques também na Polónia, Itália, Reino Unido, Alemanha, França, E.U.A e em alguns outros países”, refere comunicado da empresa enviado às redações.
A Kaspersky diz ainda ter confirmado que “o exploit EternalBlue modificado está a ser utilizado para propagação, pelo menos dentro das redes corporativas”.
The latest from @kaspersky researchers on #Petya: it’s actually #NotPetya pic.twitter.com/uTVBUul8Yt
— Kaspersky Lab (@kaspersky) 27 de junho de 2017
Publicado às 17:20H: O especialista de segurança informática Mikko Hypponen da empresa F-Secure, escreveu na rede social Twitter que o ransomware Petya está a usar a mesma falha do WannaCry para afetar as máquinas. Isto poderá significar que as máquinas afetadas por este sistema não procederam às atualizações de segurança do sistema operativo Windows, mesmo depois de todo o alarido causado pela vaga anterior de ransomware.
New Petya uses the NSA Eternalblue exploit. So Wannacry was not enough of a wake-up call. You would think everybody would be patched by now.
— Mikko Hypponen (@mikko) 27 de junho de 2017
Outra empresa de segurança informática, a Symantec, também confirmou que o Petya utiliza a falha EternalBlue para entrar no computador da vítima e para depois espalhar-se na rede à qual está associada essa máquina.
Symantec analysts have confirmed #Petya #ransomware, like #WannaCry, is using #EternalBlue exploit to spread
— Security Response (@threatintel) 27 de junho de 2017
Já outra especialista da mesma empresa, Sean Sullivan, lembra que esta não é a primeira vez que este ransomware faz vítimas, sendo que no passado afetou acima de tudo departamentos de recursos humanos.
Prediction based on past Petya modus operandi – HR departments being targeted, SMB exploit used to spread across local network.
— Sean Sullivan (@5ean5ullivan) 27 de junho de 2017
Também neste ataque os piratas informáticos estão a pedir um resgate de 300 dólares que deverá ser pago em bitcoins. As instruções necessárias para o pagamento são dispostas na mensagem que o ransomware Petya faz surgir no ecrã dos computadores das vítimas.
Ransom ware attack reportedly used against TRK Luks (majority held by Lviv mayor Sadoviy), includes 24 Kanal too. https://t.co/K8ESouloCK pic.twitter.com/SK7Y62yBsz
— Devin Ackles (@DevinAckles) 27 de junho de 2017
Pouco mais de uma hora depois dos primeiros relatos sobre o ataque, o diretor-geral da Europol, Rob Waiwright, confirmava publicamente que o organismo de segurança da Europa já estava a dar resposta aos ataques reportados pelas empresas.
We are urgently responding to reports of another major ransomware attack on businesses in Europe @EC3Europol
— Rob Wainwright (@rwainwright67) 27 de junho de 2017
Entretanto o especialista Mikko Hypponen publicou uma lista dos ficheiros que o Petya encripta nos computadores das vítimas.
Petya encrypts the following file types, demands a $300 ransom in Bitcoin. pic.twitter.com/9a3S2fwDtR
— Mikko Hypponen (@mikko) 27 de junho de 2017