Ransomware Petya
Introdução
O Petya não é uma única instância de ransomware, mas uma família de malware relacionada. Ele apareceu pela primeira vez no início de 2016, espalhado por anexos de e-mail maliciosos. Quando baixado e aberto, o anexo instalava o malware no computador da vítima.
Este ransomware é distribuído principalmente por meio de campanhas de e-mail de spam usando diferentes variações com diferentes tipos de anexos (zip, pif, .pdf.exe, ..) ou links para vários serviços de armazenamento online. Os e-mails falsos parecem candidaturas de emprego, ofertas de emprego, processos judiciais, entre outras coisas. O ransomware não usa métodos sofisticados ou kits de exploração para infectar dispositivos, ele depende puramente da ação do usuário para executar os anexos infectados
Após um início discreto, o Petya se tornou o assunto principal da segurança cibernética depois de seu novo ataque em 2017. Apelidada de “NotPetya”, a nova variante afetou pesadamente organizações na Ucrânia, incluindo o Banco Nacional da Ucrânia, antes de se espalhar pela Europa e Estados Unidos. No total, o ataque NotPetya de 2017 causou mais de US$ 10 bilhões em danos.
O nome Petya é uma referência ao filme de James Bond, GoldenEye. Uma conta no Twitter que supostamente pertencia a um dos autores de Petya tinha como nome e avatar dois dos antagonistas do filme.
Como funciona e age
O ransomware Petya criptografa a tabela de arquivos mestre (MFT) do seu computador. O MFT é o guia de referência rápida do seu computador para cada arquivo em seu HD. Sem acesso ao MFT, seu computador não consegue encontrar nenhum arquivo e, portanto, não consegue nem inicializar, quanto mais funcionar normalmente.
Depois que a vítima instala involuntariamente o Petya em um computador com Windows, ele infecta o registro mestre de inicialização (MBR). O MBR é a parte da programação de um computador responsável por carregar seu sistema operacional toda vez que o computador é ligado. Depois de entrar no MBR, o Petya força o computador a reiniciar e começa a criptografar a MFT enquanto exibe sua mensagem de resgate.
Nesse momento, o computador não consegue acessar nada no disco rígido, nem o próprio sistema operacional.
Originalmente, o Petya contava com a ingenuidade de usuários para obter acesso aos computadores. Você precisava abrir o e-mail mal-intencionado, fazer o download do anexo, abri-lo e também concordar em conceder permissões de nível administrativo para alterar o sistema operacional Windows. Somente após a conclusão desse processo, o Petya podia começar a criptografar a MFT.
Depois de alguns meses, o Petya começou a vir junto com um programa de ransomware secundário e mais convencional chamado "Mischa". Se a vítima se recusasse a conceder ao Petya os privilégios administrativos necessários para criptografar a MFT, o Mischa intervia e criptografava os arquivos da vítima: programas executáveis, bem como os documentos, fotos e vídeos que geralmente são alvos de ransomwares.
O ransomware Petya e Mischa, vem como um pacote, distribuído por seus criadores, Janus. Eles são muito incomuns, pois combinam dois métodos diferentes para criptografar os dados do usuário. Se o Petya não tiver privilégios suficientes para acessar o MBR no HDD (Hard Disk Drive), o módulo Mischa é implantado e criptografa os arquivos um por um.
A primeira versão do Petya só conseguia criptografar setores MBR e MFT. Esta versão do Petya usava vermelho para seu logotipo, fonte, etc. Os autores agora mudaram a cor para verde e adicionaram o módulo Mischa na segunda e terceira versões do Petya.
Durante o desenvolvimento, os autores cometeram alguns erros ao implementar o algoritmo de criptografia salsa20, que permite a descriptografia retrospectiva de arquivos por meio de algoritmos genéticos ou uso de força bruta, sem pagar uma taxa de resgate. A implementação mais recente do carregador Petya MBR foi corrigida e os métodos anteriores que poderiam ser usados para descriptografia não funcionam mais.
Petya e Mischa também podem trabalhar offline, o que significa que eles não precisam se comunicar de volta com seus servidores C&C, algo que outro ransomware precisa fazer para baixar a chave de criptografia.
Diferença entre Petya e NotPetya
Diferente do Petya, o NotPetya, sendo uma versão mais avançada e perigosa, aproveita o exploit do Windows, o EternalBlue, também usado alguns meses antes pela linhagem de ransomware WannaCry. O EternalBlue permite que malware como o NotPetya se espalhe rapidamente por conta própria em uma rede, podendo infectar uma organização inteira em poucas horas.
O alvo do ataque de 2017 foram grandes empresas, incluindo bancos, fornecedores de energia e conglomerados de transporte e logística. Além do novo vetor de infecção, o NotPetya tinha uma diferença muito importante, em relação à sua contraparte de 2016: não há cura. O NotPetya criptografa permanentemente os computadores em que se instala e, devido à maneira como essa criptografia é feita, é impossível descriptografar, mesmo se pagar o resgate. É um tipo de malware conhecido como wiper, mascarado de ransomware.
Essa mudança levou muitos especialistas em segurança cibernética a concluir que o ataque do NotPetya de 2017 não foi uma tentativa de conseguir o pagamento de resgate, mas um ataque cibernético direto, com o objetivo de interromper e danificar os sistemas alvos na Ucrânia. Até surgiram teorias de que o disfarce de ransomware visava enquadrar o ataque como um empreendimento criminoso para esconder um ataque cibernético patrocinado pelo Estado.
Como a vulnerabilidade EternalBlue usada pelo NotPetya foi corrigida, é muito improvável que você encontre esse tipo específico de malware, desde que mantenha seu software atualizado.
Ransomware como serviço
Os autores também oferecem seus serviços como um programa de afiliados. Se a Janus obtiver um lucro de mais de 125 BTC, pagará ao distribuidor 85% do lucro, o que pode ser muito atraente para outros cibercriminosos ou até mesmo funcionários que trabalham em grandes empresas.
De acordo com as discussões presentes em suas páginas TOR, é evidente que os ataques direcionados a grandes empresas podem nem sempre ser um ataque “de fora”, mas muito possivelmente e frequentemente “trabalhos internos”. A oferta da Janus de dar aos distribuidores uma grande porcentagem do lucro obtido com os ataques pode atrair funcionários de empresas maiores a realizar o ataque. Cada PC afetado tem uma chave única para descriptografar os dispositivos, então uma empresa precisaria pagar para descriptografar cada computador infectado, dessa forma podendo gerar gastos gigantescos com o resgate dos dados.
Como se proteger
Antes de aprendermos evitar e se prevenir de um malware, saber identificar se estamos sofrendo algum ataque de malwares, como por exemplo: Seu computador estar agindo de forma estranha? Talvez você tenha clicado em um link que instalou um programa indesejado no seu computador, esses programas(Malwares), afetam a maioria dos tipos de computador e navegador da internet e podem fazer coisas como roubar os números e senhas da suas contas bancárias, redirecionar você para websites diferentes ou mostrar núncios com conteúdo impróprio.
Será citado alguns sintomas que seu computador pode estar contaminado com malware:
- Caso esteja recebendo alguns anúncios ou pop-ups estranhos, normalmente esse tipo de malware exibe anúncios alguns segundos depois de o restante da página ser carregada, esses anúncios podem mostrar imagens impróprias, piscar em cores brilhantes ou irritar você ao bloquear a página que vocês estão tentando ver.
- Alterações não desejadas no navegados, por exemplo caso note que sua pagina inicial esteja com uma aparência diferente, ou você pode ser direcionado para uma página totalmente nova, ou também é possível que você não consiga definir sua pagina inicial ou mecanismo de pesquisa para o site que deseja.
- Computador muito lento, alguns programas podem deixar seu computador mais lento ou fazê-lo travar. Eles também podem fazer com que o navegador carregue as páginas da Web mais lentamente ou não funcione. A Web é um ótimo lugar para encontrar informações mais temos que pensar na segurança em quanto navegamos.
Para se prevenir de um malware, atualmente temos diversas ferramentas que nos ajuda a se proteger de malwares, como antivírus e firewall físico ou software, Porem só ter um antivírus instalado no computador não vai garantir uma segurança total, porque o virus não se instala sozinho no computador, ele precisa da nossa permissão, geralmente nós permitimos que esses programas maliciosos seja instalados em nosso computado, a maior fraqueza da Ciber segurança é o usuário pois muitos malware como por exemplos o vírus utiliza a engenharia social para propagar o vírus, enviando e-mails com possíveis nomes de pessoas próximas ou conhecidas, ou de clientes para que o usuário se sinta mais confiante em clicar no link enviado e assim contaminando o computador. Para evitar que esse tipo de acidente aconteça, devemos oferecer treinamentos aos colaboradores de uma empresa, educando-os e alertando de como se prevenir desses ataques, ensinando as técnicas que os hackers utilizando para propagar o seu malware.
Não conceda facilmente os privilégios de administrador: Nunca conceda privilégios administrativos ao software, a menos que você tenha certeza absoluta de que é legítimo e necessário. Seja desconfiado com e-mail.
Sempre tome muito cuidado quando se trata de links e anexos em e-mails: Se você não baixar o anexo ou clicar no link de um e-mail suspeito, não receberá o malware.
Sempre mantenha seus softwares atualizados: O malware explora vulnerabilidades de softwares e, à medida que são descobertas, as empresas rapidamente as corrigem com versões atualizadas. Instale patches e atualizações assim que os receber.
Como já dito use uma ferramenta anti-malware como ex: Kaspersky.
Não clique em anúncios na internet: Anúncios malignos, especialmente pop-ups, são uma fonte comum de infecções por malware. Não importa o que esteja escrito, deixe o anúncio em paz. Isso se aplica principalmente a sites desconhecidos.
Faça backup de seus arquivos regularmente: Isso é muito importante caso seja infectado por ransomware não é tão perigosa se você tiver um backup recente de todos os seus arquivos importantes. Os serviços em nuvem e as unidades físicas são opções de backup válidas, então, escolha uma e use-a com frequência. Ao terminar o backup dos arquivos, desconecte a unidade de backup para impedir que malware a afete.