Um ataque em grande escala causado por uma variante do ransomware Petya vem atingindo vários usuários, em especial na Europa. A Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –detectou a ameaça como RANSOM_PETYA.SMA, conhecida por usar o exploit EternalBlue e a ferramenta PsExec como vetores de infecção.
Os usuários e organizações são aconselhados a imediatamente tomar as seguintes medidas de mitigação para prevenir e evitar a infecção:
· Aplique a correção de segurança MS17-010;
· Desative a entrada TCP 445;
· Restrinja contas com acesso de grupo de administrador
Fluxo da infecção
A entrada inicial do ransomware no sistema envolve o uso da ferramenta PsExec, aplicativo oficial da Microsoft usado para executar processos em sistemas remotos.
O ransomware também usa o exploit EternalBlue – visto em ação no ataque WannaCry – que ataca uma vulnerabilidade no Server Message Block (SMB) v1. Depois de acessar o sistema, esta variante Petya usa o processo rundll32.exe e a criptografia é então executada por um arquivo chamado perfc.dat, localizado na pasta do Windows. O ransomware então adiciona uma tarefa agendada, que, após uma hora, reinicia o sistema.
Enquanto isso, o Master Boot Record (MBR) é também modificado para que o atacante execute a criptografia e, assim, o bilhete de resgate seja exibido. Uma notificação falsa do CHKDSK é exibida e é nesse momento que a criptografia é efetivamente executada.
Diferentemente de outros ransomwares, essa variante do PETYA não altera as extensões de nenhum arquivo criptografado. Mais de 60 extensões de arquivo são direcionadas para criptografia.
As extensões visadas focam em tipos de arquivos usados em configurações corporativas. Imagens e arquivos de vídeo (visados em outros ataques de ransomware) estão notavelmente ausentes.
Além do uso do exploit EternalBlue, há outras semelhanças com o WannaCry. Em comum, o processo de resgate desta variante do Petya é relativamente simples: ele também usa um endereço de Bitcoin com código definitivo (hardcode), fazendo com que o processo de descriptografar seja muito mais trabalhoso para os criminosos.
Isso difere dos ataques anteriores do Petya, que tinham UIs mais desenvolvidas para esse processo. O pedido de resgate por usuário é de US$ 300 dólares. Até o momento, cerca de US$ 7,5 mil dólares foram pagos no endereço bitcoin.
Como em todos os ataques de ransomware, a Trend Micro não recomenda o pagamento do resgate – ainda mais neste caso, tendo em vista que o provedor de email da vítima é bloqueado. Então mesmo que o alvo queira responder ao atacante dizendo que pagou o resgate, ele não consegue estabelecer a comunicação, pois a conta é inteiramente bloqueada.
