Nova onda de ataques hacker já atingiu mais de 12 mil PCs em 64 países

Hacker

A mais recente onda de ataques hackers já atingiu mais de 12,5 mil computadores em 64 países do mundo, de acordo com informações da Microsoft. Suas origens, entretanto, estão na Ucrânia, mais especificamente em uma empresa que distribui sistemas de gerenciamento eletrônico de documentos, identificada pela companhia como o ponto zero da infecção que chegou até mesmo ao Brasil.

Ativo deste a manhã de terça-feira (27), o NotPetya, ou Goldeneye, como alguns especialistas também o chamam, utiliza uma vulnerabilidade no Windows para criptografar todos os dados disponíveis na máquina, exigindo um resgate no valor de US$ 300 para liberação. Para conter a ameaça, a Microsoft disse estar trabalhando em atualizações e revelou que computadores já corrigidos após os ataques com o WannaCrypt, em março, não são afetados pela nova praga.

Estariam seguros, mais especificamente, os usuários que aplicaram o update MS17-010, liberado gratuitamente em 14 de março de 2017. A atualização para as versões 7, 8, 8.1 e 10 do Windows, além de edições para servidores, corrige as falhas no sistema de arquivos que são usadas pelo NotPetya para invadir o computador. Máquinas antigas, principalmente com Windows XP, entretanto, continuam vulneráveis e parecem constituir o grosso das infecções atuais.

Novas atualizações já foram liberadas para os sistemas, e a Microsoft diz, ainda, estar trabalhando ao lado de empresas de antivírus para que elas também possam proteger seus usuários. O malware, entretanto, continua se espalhando, mesmo que com um ritmo menor que o WannaCrypt – ele chegou em poucos dias a 150 mil máquinas, antes de ser desativado –, e um método de desligamento ainda não foi encontrado.

Enquanto isso, as informações são de que os hackers responsáveis pela praga já teriam recebido mais de US$ 100 mil, oriundos de usuários desesperados para reaverem seus arquivos. Do tipo ransomware, o NotPetya bloqueia o acesso a todos os dados do PC e exige um resgate para que eles sejam liberados.

Com grande foco no leste da Europa, o ataque já atingiu empresas como a Merck, do ramo farmacêutico, e a Maersk, do setor de logística, além do Hospital do Câncer de Barretos, no Brasil. Os mais afetados, entretanto, foram os sistemas de infraestrutura de países como Ucrânia e Rússia, onde aeroportos, metrôs, fornecedoras de energia e refinadoras de petróleo sofreram duramente os efeitos da praga.

O NotPetya foi originado a partir de mecanismos de invasão desenvolvidos pela NSA. O EternalBlue, como é chamado originalmente, utiliza brechas no sistema de arquivos do Windows para se instalar e operar sem a anuência do usuário. O malware foi vazado por um grupo de hackers, e agora, vem sendo usado contra usuários comuns em diferentes formas de aplicação.

Solução temporária

Assim como no caso do WannaCrypt, um mecanismo para impedir a proliferação do NotPetya foi descoberto por especialistas em segurança, e é simples o bastante para ser aplicado por qualquer usuário. Basta a criação de um arquivo chamado perfc, sem extensão, na pasta C:\Windows do computador para que, caso o PC seja infectado, não caia vítima da praga.

A razão pela qual isso funciona é simples. Ao contaminar uma máquina, o NotPetya permanece dormente por 10 minutos, checando todos os arquivos do PC em busca de traços de que aquela máquina já foi infectada antes. Isso seria comprovado pela existência do arquivo, que se localizado, impede que a praga entre em ação novamente.

É uma solução rápida semelhante à que foi encontrada, sem querer, por um especialista de segurança que desativou o WannaCrypt. No caso, a praga foi desativada quando um funcionário da companhia de segurança Malwaretech comprou a URL de um endereço online que fazia parte do código fonte da ameaça, como forma de verificar sua disseminação. Esse era o mecanismo de desligamento do ransomware, que fazia essa checagem online antes de agir – caso o endereço estivesse ativo, ele não seguia adiante.

Em ambos os casos, entretanto, é importante lembrar que as soluções, apesar de efetivas, não impedem a infecção. Ambas as pragas continuariam na máquina do usuário, mas inativas, e poderiam ser atualizadas para novas mecânicas de funcionamento caso os responsáveis assim desejem. São, então, alternativas que podem se mostrar perigosamente temporárias.

Fontes: Microsoft, Cybereason

via Canaltech

Deixe uma resposta