O que são os ransomwares Petya e NotPetya?
Petya e NotPetya atingiram computadores em 2016 e 2017, respectivamente, sendo que o último resultou em bilhões de dólares em danos. A primeira variante do Petya criptografava registros de inicialização mestre para tornar discos rígidos inteiros inacessíveis em vez de criptografar arquivos específicos como costumam fazer os ransomwares típicos. No entanto, outra variante do Petya era mais perigosa, infectando registros de inicialização e criptografando documentos.
Uma versão significativamente modificada do Petya, chamada de NotPetya pelos pesquisadores, era mais destrutiva e prolífica do que as antigas versões do Petya. Ao contrário do Petya, o NotPetya pode ter sido uma arma cibernética. Ele atingiu principalmente organizações na Ucrânia.
O que é o Petya?
Petya é um malware que criptografa, descoberto por pesquisadores em 2016. Seu nome é inspirado em um satélite soviético fictício do filme de James Bond GoldenEye (1995). Apesar da taxa de penetração do Petya ter sido média, sua técnica de criptografia foi inovadora e incomum.
O que o Petya fez?
O ransomware espalhou-se através de e-mails de phishing contendo um PDF que funcionava como um cavalo de Troia. Assim que alguém ativava o Petya e lhe dava acesso administrativo, o ransomware começava a atuar. Após reiniciar o computador alvo como um vírus de inicialização, ele sobrescrevia o Registro de Inicialização Mestre (MBR) para criptografar o disco rígido. Embora os arquivos em um computador infectado pelo Petya não fossem criptografados, corrompidos ou perdidos, eles ficavam inacessíveis. Petya exigia Bitcoin das vítimas para restaurar o acesso.
Qual a diferença entre Petya e NotPetya?
NotPetya foi uma versão turbinada do Petya. Especialistas em segurança cibernética o nomearam "NotPetya", e o nome pegou. Embora tanto o Petya quanto o NotPetya possam ajudar um criminoso cibernético a lançar um ataque de ransomware, existem algumas diferenças críticas.
1. Propagação
Petya não se espalhou tão rapidamente quanto NotPetya por alguns motivos. Por um lado, ele tentava enganar os usuários para que o abrissem, e muitos usuários modernos de computadores conseguem identificar técnicas de engenharia social, como ataques de phishing. A variante original do Petya também exigia permissões administrativas que muitos usuários experientes não compartilhavam. Por outro lado, o NotPetya propagou-se mais rapidamente por backdoors, exploits como Eternal Blue e vulnerabilidades de acesso remoto. Você pode ler sobre EternalPetya para mais informações sobre a família de ransomware Petya.
2. Criptografia
Como mencionado acima, a versão original do Petya não criptografa arquivos, apenas o registro de inicialização para impedir que as vítimas carreguem o Windows. Em contraste, NotPetya criptografava arquivos e até danificava alguns dispositivos de armazenamento. Eles também diferiam em suas exibições e mensagens para seus alvos. Curiosamente, uma segunda variante do Petya equipada com a carga útil de ransomware Mischa também criptografa documentos e não precisa de permissões administrativas da vítima.
3. Descriptografia
Muitos especialistas alegaram que os atacantes do NotPetya não poderiam descriptografar arquivos. Por exemplo, o Centro Nacional de Segurança Cibernética do Reino Unido disse: “O malware não foi projetado para ser descriptografado. Isso significa que não havia meios para as vítimas recuperarem os dados uma vez que tivessem sido criptografados.” No entanto, pesquisadores na Vice descobriram que os hackers do NotPetya conseguiram desbloquear todos os arquivos criptografados pelo ransomware afinal.
Que tipo de ataque foi o NotPetya?
NotPetya foi, provavelmente, um ciberataque. Seus autores pareciam mais interessados em interromper sistemas do que gerar receita, e é improvável que hackers amadores tivessem os recursos ou habilidades para desenvolver o Petya em NotPetya tão rapidamente.
Quem foi alvo do NotPetya?
Enquanto o NotPetya se espalhou organicamente pela Europa, Ásia e América do Norte, seu alvo real provavelmente era a Ucrânia. NotPetya atingiu os setores governamentais, de transporte, energia e finanças, resultando em grandes perdas monetárias e de produtividade no país europeu. O ataque do NotPetya também começou na véspera do Dia da Constituição da Ucrânia.
Quem iniciou o NotPetya?
NotPetya tem as características de uma guerra cibernética patrocinada pelo estado. Políticos ucranianos culparam os serviços de segurança russos pelo NotPetya, e o governo americano concordou. O Kremlin respondeu negando essas alegações e apontando que o ransomware também se espalhou para a Rússia. No entanto, um porta-voz nacional disse que o ataque não causou danos sérios na Rússia.
O NotPetya é um ransomware?
Alguns especialistas argumentam que o NotPetya não é um ransomware porque seus autores podem não ter a capacidade de descriptografar computadores. Mas a resposta para "O NotPetya é um ransomware" depende da sua definição de ransomware. Você poderia dizer que o NotPetya é um ransomware independentemente das habilidades de seu autor para descriptografar computadores, porque ele impede os usuários de acessar seus arquivos ou sistema e exige um pagamento de resgate. Da mesma forma, o WannaCry também é uma variante de ransomware, mesmo que seus autores possam ter a capacidade de descriptografar computadores.
Como parar o Petya
Você pode ter lido sobre como atores de ameaça estão usando vulnerabilidades do SMB para lançar ataques de ransomware como NotPetya e WannaCry. Baixar as atualizações mais recentes do Windows Server Message Block (SMB) pode corrigir essas falhas de segurança. Usar software de segurança que possa proteger contra ransomware também é importante. Fazer backup de seus dados regularmente também pode ajudar você a estar preparado em caso de um ataque de ransomware.