Ransomware Petya e NotPetya

O Petya e o NotPetya foram ataques cibernéticos em 2016 e 2017, respectivamente. Ambos envolviam ransomware, mas o NotPetya era ainda mais avançado que o Petya.

.st0{fill:#0D3ECC;} FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e For Business

O que são os ransomwares Petya e NotPetya?

O Petya e o NotPetya atingiram computadores em 2016 e 2017, respectivamente, sendo que o último resultou em bilhões de dólares em danos. A primeira variante do Petya criptografava os registros mestre de inicialização para tornar inacessíveis discos rígidos inteiros, em vez de criptografar arquivos específicos como um ransomware típico. No entanto, outra variante do Petya era mais perigosa, infectando registros de inicialização e criptografando documentos.

Uma versão significativamente modificada do Petya, apelidada pelos pesquisadores de NotPetya, era mais destrutiva e prolífica do que as versões antigas do Petya. Ao contrário do Petya, o NotPetya pode ter sido uma arma cibernética. Ele atingiu principalmente organizações na Ucrânia.

O que é o Petya?

O Petya é um malware de criptografia que os pesquisadores encontraram em 2016. Seu nome é inspirado em um satélite soviético fictício do filme GoldenEye (1995), de James Bond. Embora a taxa de penetração do Petya fosse média, sua técnica de criptografia era inovadora e incomum.

O que o Petya fez?

O ransomware se espalhou por meio de e-mails de phishing que continham um PDF funcionando como um cavalo de Troia. Assim que alguém ativava o Petya e concedia a ele acesso de administrador, o ransomware começava a trabalhar. Após reiniciar o computador do alvo como um vírus de setor de inicialização, ele sobrescrevia o MBR (Master Boot Record) para criptografar o disco rígido. Embora os arquivos em um computador infectado pelo Petya não fossem criptografados, corrompidos ou perdidos, eles ficavam inacessíveis. O Petya exigia Bitcoin das vítimas para restaurar o acesso.

Qual é a diferença entre o Petya e o NotPetya?

O NotPetya era uma versão aprimorada do Petya. Os especialistas em segurança cibernética o chamaram de "NotPetya", e o nome pegou. Embora tanto o Petya quanto o NotPetya possam ajudar um criminoso cibernético a lançar um ataque de ransomware, existem algumas diferenças importantes.

1. Propagação

O Petya não se espalhou tão rapidamente quanto o NotPetya por alguns motivos. Por um lado, ele tentou enganar os usuários para que o abrissem, e muitos usuários de computadores modernos conseguem identificar técnicas de engenharia social, como ataques de phishing. A variante original do Petya também exigia permissões de administrador que muitos usuários experientes não compartilhavam. Por outro lado, o NotPetya se propagou mais rapidamente por meio de backdoors, exploits como o Eternal Blue e vulnerabilidades de acesso remoto. Você pode ler sobre o EternalPetya para saber mais sobre a família de ransomware Petya.

2. Criptografia

Como mencionado acima, a versão original do Petya não criptografa arquivos, apenas o registro de inicialização para impedir que as vítimas carreguem o site Windows. Por outro lado, o NotPetya criptografou arquivos e até danificou algumas unidades de armazenamento. Os dois também diferem em suas exibições e mensagens para seus alvos. Curiosamente, uma segunda variante do Petya armada com a carga útil de ransomware Mischa também criptografa documentos e não precisa de permissões administrativas da vítima.

3. Descriptografia

Muitos especialistas afirmaram que os atacantes do NotPetya não conseguiram descriptografar os arquivos. Por exemplo, o National Cyber Security Centre do Reino Unido afirmou que: "O malware não foi projetado para ser descriptografado. Isso significa que não havia meios para as vítimas recuperarem os dados depois de criptografados". No entanto, os pesquisadores da Vice descobriram que os hackers do NotPetya poderiam desbloquear todos os arquivos criptografados pelo ransomware, afinal.

Que tipo de ataque foi o NotPetya?

O NotPetya foi muito provavelmente um ataque cibernético. Seus autores pareciam mais interessados em interromper os sistemas do que em gerar receita, e é improvável que hackers insignificantes tivessem os recursos ou as habilidades para transformar o Petya em NotPetya tão rapidamente.

Quem foi o alvo do NotPetya?

Embora o NotPetya tenha se espalhado organicamente pela Europa, Ásia e América do Norte, seu alvo real provavelmente foi a Ucrânia. O NotPetya atingiu os setores de governo, transporte, energia e financeiro, resultando em grandes perdas monetárias e de produtividade no país europeu. O ataque do NotPetya também começou na véspera do Dia da Constituição da Ucrânia.

Quem iniciou o NotPetya?

O NotPetya tem as características de uma guerra cibernética patrocinada pelo Estado. Os políticos da Ucrânia culparam os serviços de segurança russos pelo NotPetya, e o governo americano concordou. O Kremlin respondeu negando essas alegações e apontando que o ransomware também se espalhou pela Rússia. No entanto, um porta-voz nacional disse que o ataque não causou danos graves na Rússia.  

O NotPetya é um ransomware?

Alguns especialistas argumentam que o NotPetya não é um ransomware porque seus autores podem não ter a capacidade de descriptografar computadores. Mas a resposta para "O NotPetya é um ransomware" depende de sua definição de ransomware. Pode-se dizer que o NotPetya é um ransomware, independentemente da capacidade de seus autores de descriptografar computadores, porque ele impede que os usuários acessem seus arquivos ou sistemas e exige o pagamento de um resgate. Da mesma forma, o WannaCry também é uma variedade de ransomware, embora seus autores possam ter a capacidade de descriptografar computadores.

Como interromper o Petya

Você deve ter lido sobre como os agentes de ameaças estão usando as vulnerabilidades do SMB para lançar ataques de ransomware como o NotPetya e o WannaCry. O download dos patches mais recentes do Windows Server Message Block (SMB) pode corrigir essas falhas de segurança. Também é importante usar um software de segurança que possa proteger contra ransomware. Fazer backup de seus dados regularmente também pode ajudá-lo a estar preparado em caso de ataque de ransomware.