Fonte: ComputerWorld
João Barreto, s21 Sec avisa que o novo ransomware semelhante ao Petya funciona a partir de um email com um ficheiro .doc , que aberto desencadeia a cifra do disco rígido do computador.
A primeira opinião que João Barreto emitiu sobre a nova vaga de ransomware “é que este é mais perigoso do que o Wanna Cry”. Aquilo que se pensa ser uma variação do Petya, actua com o envio de um email, sem que uma máquina esteja directamente exposta à Internet, assinala o vice-presidente da S21sec.
A mensagem tem incorporada um ficheiro “.doc”, o qual aberto desencadeia a cifra de todo o disco rígido de um PC, alerta. São duas das novidades do ransomware face ao Wanna Cry: explora a falha frequentemente conhecida por “office rtf vulnerability”, aponta o especialista. “Cifra o MFT (MasterFile Tree) e substitui o MBR (Master Boot Record)com um bootloader próprio, não se limitando a cifrar apenas ficheiros específicos. Toma controlo do PC apresentando apenas a nota de resgate”, diz ainda numa nota.
De resto, o funcionamento técnico é quase o mesmo, com a excepção de não trazer um interruptor de desactivação, que o Wanna Cry tinha e faz alguns investigadores pensarem que seria um protótipo de teste. O meio de propagação também se baseia no explot Eternalblue. Assim, lembra João Barreto, os sistemas actualizados com as correcções emitidas pela Microsoft em Abril e Março estarão potencialmente protegidos.
A principal recomendação que o responsável é que as organizações actualizem os sistemas operativos.
A S21sec não registou qualquer ocorrência entre a base de clientes até pouco depois das 18 horas. Até às 17 horas, o Centro Nacional de Cibersegurança também não tinha qualquer ocorrência registada. Mas citando uma referência no forum Bleep Computer foi possível verificar que a carteira para onde sejam dirigidas as Bitcoin do pagamento dos resgates já continha perto de 2000 dólares em determinada hora da tarde.
Kaspersky defende que não há variante, A Kaspersky Lab diz que a ameaça de segurança que está hoje a espalhar-se pelo globo não é uma variante do ransomware Petya, como já chegou a ser avançado por analistas. “É um novo ransomware que nunca foi visto anteriormente”, dizem os analistas da Kaspersky Lab que estão a investigar a nova vaga de ataques.
Por contradizer uma informação avançada anteriormente, o ransomware recebeu o nome de “NotPetya”. De acordo com os dados telemétricos recolhidos pela empresa de soluções de segurança informática, já foram atacados dois mil utilizadores. “As organizações na Rússia e na Ucrânia são as mais afectadas, no entanto foram registados ataques também na Polónia, Itália, Reino Unido, Alemanha, França, E.U.A e em alguns outros países”. Segundo a Kaspersky, o ataque “parece ser complexo”, envolvendo vários vectores.
Já foi confirmado que o “exploit EternalBlue modificado está a ser utilizado para propagação, pelo menos dentro das redes corporativas”. A ameaça foi classificada como “UDS:DangeroundObject.Multi.Generic” e a empresa irá lançar, assim que possível, novas actualizações, incluindo para a System Watcher.
Está também a trabalhar para determinar se é possível desencriptar os dados bloqueados com o ataque. A recomendação da empresa para os clientes e não só é: manter o software Windows e as soluções de segurança actualizados e garantir que existem ferramentas de backup e detecção de ransomware em funcionamento.
Alguns analistas especulam se será uma variante do Petya, um ransomware que encripta todo o disco risco e não cada ficheiro individualmente, mas os analistas da Check Point consideram que está também envolvido o ladrão de credenciais Loki Bot. Especula-se também que o malware poderá disseminar-se por vias alternativas tirando partido de vulnerabilidades SMB, tal como o WannaCry.
A equipa de investigadores da empresa de soluções de segurança empresariais Check Point está a analisar a nova ameaça e recomenda a visita ao blogue da empresa que está a ser actualizado de hora a hora com informação sobre este novo ciberataque.
Post A Comment:
0 comments: