Atividades do Petya são observadas desde 2016 pela FireEye
Especialistas da líder em ciberinteligência global revelam como se dá a atuação
e o que já se identificou da ação mais recente do malware
“Esta atividade destaca a importância para as empresas e os governos garantirem seus sistemas contra ataques cibernéticos. O cenário mudou e é importante que as práticas de segurança se adaptem para responder às ameaças”, afirma Robert Freeman, vice-presidente da FireEye para a América Latina. “De uma robusta estratégia de back-up, segmentação de rede e análise da navegação, quando apropriado, além de outras defesas de resgate, as organizações podem se defender das operações de disseminação e corrigir rapidamente as infecções causadas por elas”, complementa.
Relatado desde 2016 pela empresa, o Petya é um tipo de resgate completo. Integra uma família de ransomware atípica, uma vez que o malware não criptografa arquivos individuais nos sistemas das vítimas, mas substitui a gravação mestre de inicialização (MBR) e criptografa a tabela de arquivos mestre (MFT), o que torna o sistema inoperável até que o resgate seja pago. Este malware contém um conta-gotas, carregador de inicialização personalizado e um pequeno kernel do Windows que executa rotinas de criptografia adicionais.
Segundo pesquisadores da companhia líder global em ciberinteligência, ainda está sob apuração se esta ameaça é nova ou é uma extensão de problemas conhecidos, já que as campanhas de ransomware são ocorrências regulares neste momento. A análise inicial dos artefatos e do tráfego nas redes das vítimas indica que uma versão modificada da vulnerabilidade SMB EternalBlue foi usada, pelo menos em parte, para espalhar e propagar outros sistemas junto aos comandos WMI, MimiKatz e PSExec. Os passos do ataque ainda estão sob avaliação e as informações serão atualizadas em tempo real.
A FireEye estabeleceu um Evento de Proteção Comunitária e continua a investigar estes relatórios e a atividade de ameaça envolvida nos incidentes disruptivos. O seu serviço as a service, (FaaS, sigla em inglês), está atento ao monitoramento do ambiente dos clientes globais da companhia.
“Embora a detecção da FireEye aproveite a análise comportamental de técnicas mal-intencionadas, nossa equipe criou uma regra YARA para ajudar as organizações a pesquisar retroativamente seus ambientes para este malware, bem como para detectar atividades futuras”, afirma Robert Freeman. “Nossa equipe se concentrou nas técnicas dos invasores que são fundamentais para a operação do malware: uso de unidade SMB, linguagem de demanda de resgate, funções e APIs subjacentes e utilitários de sistema usados para movimentos laterais”, finaliza.
Sobre a FireEye, Inc.
A FireEye é líder no fornecimento de segurança como serviço liderado por inteligência. Trabalha com base em uma extensão contínua e escalável das operações de segurança do cliente. Por meio de uma única plataforma, a qual combina tecnologias inovadoras de segurança, inteligência de ameaças em nível internacional e a consultoria da Mandiant®, mundialmente conhecida. Com esta abordagem, a FireEye elimina a complexidade e a carga da segurança cibernética para as organizações se prepararem, prevenirem e responderem aos ataques cibernéticos. A FireEye tem mais de 5.600 clientes em 67 países, sendo mais de 40% destes pertencentes à lista da Forbes Global 2000.
Nenhum comentário