Ransomware Petya e NotPetya

O Petya e o NotPetya foram ciberataques em 2016 e 2017, respetivamente. Ambos envolviam ransomware, mas o NotPetya era ainda mais avançado do que o Petya.

.st0{fill:#0D3ECC;} DESCARREGAR MALWAREBYTES GRATUITAMENTE

Também para Windows, iOS, Android, Chromebook e Para empresas

O que são os ransomware Petya e NotPetya?

O Petya e o NotPetya atingiram computadores em 2016 e 2017, respetivamente, tendo o último resultado em milhares de milhões de dólares em prejuízos. A primeira variante do Petya encriptava registos de arranque principais para tornar inacessíveis discos rígidos inteiros, em vez de encriptar ficheiros específicos como o ransomware típico. No entanto, outra variante do Petya era mais perigosa, infectando registos de arranque e encriptando documentos.

Uma versão significativamente modificada do Petya, apelidada pelos investigadores de NotPetya, era mais destrutiva e prolífica do que as versões anteriores do Petya. Ao contrário do Petya, o NotPetya pode ter sido uma arma cibernética. Atingiu principalmente organizações na Ucrânia.

O que é o Petya?

O Petya é um malware de encriptação que os investigadores descobriram em 2016. O seu nome é inspirado num satélite soviético fictício do filme GoldenEye (1995) de James Bond. Embora a taxa de penetração do Petya fosse média, a sua técnica de encriptação era inovadora e invulgar.

O que é que o Petya fez?

O ransomware espalhou-se através de e-mails de phishing que continham um PDF que funcionava como um cavalo de Troia. Assim que alguém activava o Petya e lhe dava acesso de administrador, o ransomware começava a trabalhar. Depois de reiniciar o computador do alvo como um vírus do sector de arranque, substitui o Master Boot Record (MBR) para encriptar o disco rígido. Embora os ficheiros de um computador infetado pelo Petya não fossem encriptados, corrompidos ou perdidos, ficavam inacessíveis. O Petya exigia Bitcoin às vítimas para restaurar o acesso.

Qual é a diferença entre o Petya e o NotPetya?

O NotPetya era uma versão melhorada do Petya. Os especialistas em cibersegurança chamaram-lhe "NotPetya", e o nome pegou. Embora tanto o Petya como o NotPetya possam ajudar um cibercriminoso a lançar um ataque de ransomware, existem algumas diferenças importantes.

1. Propagação

O Petya não se espalhou tão rapidamente como o NotPetya por algumas razões. Por um lado, tentou enganar os utilizadores para que o abrissem, e muitos utilizadores modernos de computadores conseguem identificar técnicas de engenharia social como os ataques de phishing. A variante original do Petya também exigia permissões de administrador que muitos utilizadores experientes não partilhavam. Por outro lado, o NotPetya propagou-se mais rapidamente através de backdoors, exploits como o Eternal Blue e vulnerabilidades de acesso remoto. Pode ler sobre o EternalPetya para saber mais sobre a família de ransomware Petya.

2. Encriptação

Como mencionado acima, a versão original do Petya não encripta ficheiros, apenas o registo de arranque para evitar que as vítimas carreguem Windows. Em contrapartida, o NotPetya encripta ficheiros e até danifica algumas unidades de armazenamento. As duas também diferem nos seus ecrãs e mensagens para os seus alvos. Curiosamente, uma segunda variante do Petya, armada com o payload de ransomware Mischa, também encripta documentos e não necessita de permissões administrativas da vítima.

3. Descriptografia

Muitos especialistas afirmaram que os atacantes do NotPetya não conseguiram desencriptar os ficheiros. Por exemplo, o Centro Nacional de Cibersegurança do Reino Unido afirmou "O malware não foi concebido para ser desencriptado. Isto significa que não havia meios para as vítimas recuperarem os dados depois de terem sido encriptados". No entanto, os investigadores da Vice descobriram que os hackers do NotPetya conseguiram, afinal, desbloquear todos os ficheiros encriptados pelo ransomware.

Que tipo de ataque foi o NotPetya?

O NotPetya foi muito provavelmente um ciberataque. Os seus autores pareciam mais interessados em perturbar os sistemas do que em gerar receitas, e é improvável que pequenos piratas informáticos tivessem recursos ou competências para transformar o Petya em NotPetya tão rapidamente.

Quem era o alvo do NotPetya?

Embora o NotPetya se tenha espalhado organicamente pela Europa, Ásia e América do Norte, o seu alvo real foi muito provavelmente a Ucrânia. O NotPetya atingiu os sectores governamental, dos transportes, da energia e financeiro, provocando grandes perdas monetárias e de produtividade no país europeu. O ataque NotPetya também começou na véspera do Dia da Constituição da Ucrânia.

Quem criou o NotPetya?

O NotPetya tem as caraterísticas de uma guerra cibernética patrocinada pelo Estado. Os políticos ucranianos culparam os serviços de segurança russos pelo NotPetya e o governo americano concordou. O Kremlin respondeu negando estas alegações e salientando que o ransomware também se espalhou pela Rússia. No entanto, um porta-voz nacional afirmou que o ataque não causou danos graves na Rússia.  

O NotPetya é ransomware?

Alguns especialistas argumentam que o NotPetya não é ransomware porque os seus autores podem não ter a capacidade de desencriptar computadores. Mas a resposta a "O NotPetya é um ransomware" depende da sua definição de ransomware. Pode dizer-se que o NotPetya é ransomware, independentemente da capacidade do seu autor para desencriptar computadores, porque impede os utilizadores de acederem aos seus ficheiros ou sistema e exige o pagamento de um resgate. Da mesma forma, o WannaCry também é uma estirpe de ransomware, embora os seus autores possam ter a capacidade de desencriptar computadores.

Como travar o Petya

Poderá ter lido sobre a forma como os agentes de ameaças estão a utilizar as vulnerabilidades SMB para lançar ataques de ransomware como o NotPetya e o WannaCry. O descarregamento dos mais recentes patches Windows Server Message Block (SMB) pode colmatar estas falhas de segurança. Também é importante utilizar software de segurança que possa proteger contra ransomware. Fazer cópias de segurança dos seus dados regularmente também pode ajudá-lo a estar preparado em caso de ataque de ransomware.