O que você precisa saber sobre o ransomware Petya

O ransomware Petya é ainda mais perigoso que o WannaCry. Conheça suas características e saiba o que fazer em caso de ataque.
Emilia Bertolli
3 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.

O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.

Como o Petya se espalha

Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.

Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.

Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.

O que o Petya faz

Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.

Depois do tempo de espera, o ataque é feito em quatro etapas:

1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS

2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado

3 – Força a reinicialização da máquina para que o usuário fique bloqueado

4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina

Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.

Como prevenir um ataque do Petya

Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:

  • Desativar SMBv1 durante atualizações
  • Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
  • Aplicar todas as atualizações!

Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.

O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.

Como o Petya se espalha

Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.

Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.

Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.

O que o Petya faz

Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.

Depois do tempo de espera, o ataque é feito em quatro etapas:

1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS

2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado

3 – Força a reinicialização da máquina para que o usuário fique bloqueado

4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina

Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.

Como prevenir um ataque do Petya

Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:

  • Desativar SMBv1 durante atualizações
  • Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
  • Aplicar todas as atualizações!

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

o-que-é-o-saml-e-como-ele-funciona?
O que é o SAML e como ele funciona?
O SAML (Security Assertion Markup Language) é um padrão aberto que permite que provedores de identidade (IdP) passem credenciais de autorização para provedores de serviços (SP). Neste artigo, explicaremos o que é o SAML, para que serve e como funciona.
falha-no-salesforce-pode-expor-dados-sensíveis
Falha no Salesforce pode expor dados sensíveis
Sumário executivo Uma comunidade do Salesforce configurada incorretamente pode fazer com que dados confidenciais na plataforma sejam expostos a qualquer pessoa na Internet. Os usuários anônimos podem consultar objetos que contêm informações confidenciais, como listas de clientes, casos de suporte e endereços de e-mail de funcionários.Nossa equipe de pesquisa descobriu várias comunidades do Salesforce acessíveis…
afinal,-os-usuários-windows-devem-ou-não-trocar-as-suas-senhas-periodicamente?
Afinal, os usuários Windows devem ou não trocar as suas senhas periodicamente?
É regra em qualquer área de TI fazer com que os usuários alterem suas senhas periodicamente. Na verdade, a necessidade de alterações programadas de senha é uma das práticas recomendadas de TI mais antigas.  Recentemente, no entanto, as coisas começaram a mudar. A Microsoft reverteu o curso sobre as práticas recomendadas que vinham em vigor há décadas e não…
processo-é-o-fator-mais-importante-na-prevenção-de-invasões
Processo é o fator mais importante na prevenção de invasões
Há quem diga que, quando se trata de segurança, as pessoas são mais importantes que o processo na prevenção de invasões. Mas isso está incorreto.