Petya: Nova vaga de ransomware afeta várias empresas na Europa

[Este artigo recebeu várias atualizações] Ainda a recuperar do WannaCry? Então redobre a atenção pois há uma nova vaga de ransomware a afetar várias empresas em diferentes países da Europa. Ucrânia, Rússia, Reino Unido e França já estão entre os países que tiveram organizações ou empresas afetadas. No caso da Ucrânia este está a ser descrito como o pior ataque informático alguma vez registado no país.

No caso ucraniano, e como escreve o The Guardian, o ransomware Petya já afetou a rede do governo, bancos, empresas de telecomunicações, o distribuidor da rede elétrica do país e ainda o metropolitano. Das informações até agora apuradas o caso ucraniano é de longe aquele que está a ter maiores repercussões.

A empresa de advocacia DLA Piper, a empresa de comunicação WPP Group, a fabricante de aço russa Evraz, a transportadora Maersk e o produtor de petróleo Rosneft estão entre as grandes organizações já afetadas pelo ataque de ransomware Petya. No caso da Maersk, um porta-voz da empresa já confirmou que foram afetados todos os ramos do negócio, tanto na Dinamarca, como fora do país.

Publicado às 19:08H de 29/06/2017: O caso do Petya recebeu novos desenvolvimentos e a informação principal foi condensada neste artigo: O ainda mais curioso caso do Petya

Publicado às 19:44H: Novas informações não confirmadas parecem indicar que o malware Petya/NotPetya possa ter explorado uma falha no software MeDoc, popular na Ucrânia. Através do sistema de atualização deste software terá sido depois disseminado o ransomware. Mais informações no blogue de segurança da Cisco.

Publicado às 19:39H: De acordo com a informação pública do endereço dado para o pagamento do resgate em bitcoins, os atacantes já receberam perto de três mil dólares por parte das vítimas.

Publicado às 19:30H: Na mensagem veiculada pelo ransomware Petya/NotPetya era disponibilizado um email para efeitos de comunicação do lado das vítimas. A empresa responsável por esse serviço de email, a Posteo, confirmou ter bloqueado o email em questão. A decisão está no entanto a levantar algumas críticas por ser, em teoria, a única forma que as vítimas têm de tentar recuperar os seus ficheiros encriptados.

Publicado às 19:16H: Até às 17H em Portugal continental o Centro Nacional de Cibersegurança não tinha qualquer registo de qualquer incidente relacionado com o Petya/NotPetya em Portugal, revela nota publicada no site oficial da entidade.

“O CNCS alertou, de imediato, a rede nacional de CSIRT, informando-a de que estaria a ocorrer um problema na Ucrânia e que se deveriam preparar e manter vigilância reforçada para a eventualidade do ataque atingir as redes nacionais”, lê-se na informação partilhada.

Publicado às 19:14H: O investigador de segurança informática responsável por ter ajudado a impedir uma disseminação mais feroz do WannaCry, que dá pelo nome de MalwareTech, acredita que este novo ataque pode estar a explorar uma falha nos sistemas que é mais eficaz do que a falha EternalBlue.

Publicado às 18:51H: A empresa de segurança Kaspersky diz que ao contrário do que tem sido avançado, este ransomware não é uma variante do conhecido software Petya “mas sim um novo ransomware que nunca foi visto anteriormente”. A tecnológica russa decidiu apelidar o ransomware de NotPetya.

“Os dados telemétricos da empresa registam cerca de 2 mil utilizadores atacados até ao momento. As organizações na Rússia e na Ucrânia são as mais afetadas, no entanto foram registados ataques também na Polónia, Itália, Reino Unido, Alemanha, França, E.U.A e em alguns outros países”, refere comunicado da empresa enviado às redações.

A Kaspersky diz ainda ter confirmado que “o exploit EternalBlue modificado está a ser utilizado para propagação, pelo menos dentro das redes corporativas”.

Publicado às 17:20H: O especialista de segurança informática Mikko Hypponen da empresa F-Secure, escreveu na rede social Twitter que o ransomware Petya está a usar a mesma falha do WannaCry para afetar as máquinas. Isto poderá significar que as máquinas afetadas por este sistema não procederam às atualizações de segurança do sistema operativo Windows, mesmo depois de todo o alarido causado pela vaga anterior de ransomware.

Outra empresa de segurança informática, a Symantec, também confirmou que o Petya utiliza a falha EternalBlue para entrar no computador da vítima e para depois espalhar-se na rede à qual está associada essa máquina.

Já outra especialista da mesma empresa, Sean Sullivan, lembra que esta não é a primeira vez que este ransomware faz vítimas, sendo que no passado afetou acima de tudo departamentos de recursos humanos.

Também neste ataque os piratas informáticos estão a pedir um resgate de 300 dólares que deverá ser pago em bitcoins. As instruções necessárias para o pagamento são dispostas na mensagem que o ransomware Petya faz surgir no ecrã dos computadores das vítimas.

Pouco mais de uma hora depois dos primeiros relatos sobre o ataque, o diretor-geral da Europol, Rob Waiwright, confirmava publicamente que o organismo de segurança da Europa já estava a dar resposta aos ataques reportados pelas empresas.

Entretanto o especialista Mikko Hypponen publicou uma lista dos ficheiros que o Petya encripta nos computadores das vítimas.

Rui da Rocha Ferreira: Fã incondicional do Movimento 37 do AlphaGo.
Artigo sugerido