Trend Micro: ataque massivo PETYA pode ter sido originado por falha em software ucraniano

Surto virtual parece ter origem em falha de atualização da infraestrutura do software de contabilidade MEDoc

São Paulo, junho de 2017 – Depois do novo surto ocorrido ontem que utiliza uma variante do ransomware denominada PETYA, a Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – afirma que esse novo ataque vai além e não é uma simples variante que apenas utiliza as técnicas de propagação já estabelecidas pelo WannaCry.

O ataque parece ter sido inicialmente planejado como um ataque direcionado, com origem em uma falha de atualização da infraestrutura do software de contabilidade ucraniano conhecido como MEDoc (aparentemente assumido pelo website, mas categoricamente negado pela MEDoc no Facebook).

Este ataque de island-hopping, que começa com um fornecedor pequeno de software, cujo produto é obrigatório para as empresas que pagam impostos na Ucrânia, pode ter sido alvo especificamente nesse país. No entanto, como em qualquer ataque direcionado comum, houve danos colaterais.

O fato de que o malware estava configurado para aguardar cinco dias antes de ser acionado no dia 27 de junho, um dia antes de um feriado público ucraniano, também tem um peso circunstancial de que o ataque foi direcionado principalmente às vítimas na Ucrânia.

Interferências?

Algumas importantes vítimas globais, tais como WPP, Maersk e Saint-Gobain, por exemplo, possuem escritórios e operações na Ucrânia e provavelmente são usuários do MEDoc. Além disso, a Rosneft, empresa petrolífera estatal russa, embora não seja necessariamente usuária do software, ainda assim conta com presença na Ucrânia e, portanto, pode estar exposta ao MEDoc através de sua rede.

Parece que este ataque cibernético está seguindo a lei de consequências não intencionais, com crescente número de vítimas incluindo alvos originários de locais fora da Ucrânia.

Dinheiro?

Os criadores deste malware em particular são claramente qualificados e experientes, tendo em vista que usaram o código do Petya, reutilizaram exploits usadas pelo WannaCry, adicionaram capturas de hash de senhas e mais duas outras técnicas de propagação de rede, com o ofuscamento de código e certificados falsos da Microsoft.

Seria uma dedução óbvia dizer que o ataque da variante do ransomware PETYA foi motivado por dinheiro, mas algo vai na contramão dessa dedução: o mecanismo de pagamento do resgate.

O pagamento depende de uma única carteira de Bitcoin com código imutável (hard-code). Em seguida, o ID da carteira de bitcoin da vítima e a "chave de instalação pessoal" (69 caracteres que não podem ser copiados/colados) são enviados a um e-mail rapidamente desligado pela empresa de hospedagem Posteo, com sede em Berlim.

Quem está vulnerável?

Até agora, todos os mecanismos de propagação altamente eficazes estão completamente sintonizados para propagação interna baseada em rede a um ritmo acelerado. Aparentemente não parece ter sido uma campanha construída com grande foco para entregar esta payload além da base de usuários do software MEDoc.

Segundo a Trend Micro, companhias que têm presença na Ucrânia ou tem parceiros imediatos com operações no país, devem considerar diretamente esse ataque em risco. Fora deste grupo imediato, o risco diminui significativamente, no entanto, não existe uma garantia definitiva de que os usuários estão a salvo e basta um único dispositivo na rede ser infectado para que esse surto devastador seja ativado.

Para detalhes técnicos sobre este surto e conselhos sobre a melhor forma de mitigar, acesse as constantes atualizações da Trend Micro sobre o Ataque de Ransomware Petya (2017) e nossas Perguntas Frequentes. Para acessar uma análise técnica do malware em questão, dê uma olhada Trend Labs Security Blog.

Para conselhos gerais sobre o ransomware e acesso a ferramentas de descriptografia gratuitas, acesse nomoreransom.org.

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital. Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e terminais.

Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.

Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecimento de uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.

Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário de telecomunicações e petróleo.

Com mais de 5.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações garantam a sua jornada para a nuvem. Para mais informações, visite www.trendmicro.com.