Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.
O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.
Como o Petya se espalha
Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.
Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.
Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.
O que o Petya faz
Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.
Depois do tempo de espera, o ataque é feito em quatro etapas:
1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS
2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado
3 – Força a reinicialização da máquina para que o usuário fique bloqueado
4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina
Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.
Como prevenir um ataque do Petya
Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:
- Desativar SMBv1 durante atualizações
- Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
- Aplicar todas as atualizações!
Um ransomware ainda mais perigoso que o WannaCry, o Petya, além de criptografar todos os dados da vítima, também sequestra o computador e o deixa completamente inacessível, por criptografar seu Master Boot Record.
O Petya é outro ataque rápido que, como o WannaCry, usa o EternalBlue. Porém, diferente do WannaCry, o Petya também pode se espalhar remotamente, não possui ”botão de desligar”, é muito mais sofisticado e deixa as máquinas impossibilitadas de uso.
Como o Petya se espalha
Inicialmente, Petya foi pensado para obter uma brecha em redes corporativas por meio de e-mails com documentos de Word anexo infectados. Mas os pacotes Microsoft Office corrigidos com a atualização estão protegidos desses ataques.
Enquanto o phishing é um vetor de ataque viável, um dos principais vetores é o MeDoc, uma empresa de software financeiro da Ucrânia. O recurso de atualização de software da MeDoc foi hackeado e os atacantes usaram isso para distribuir o Petya. Isso explica por que a Ucrânia foi atingida de forma drástica.
Uma vez que a primeira máquina é infectada, esse ransomware se espalha ponto a ponto para outros bases Windowns e servidores vulneráveis. O Petya também pode se espalhar via PsExec, mesmo em máquinas atualizadas.
O que o Petya faz
Quando o Petya se instala na máquina, leva cerca de uma hora e meia para o ataque ser realizado. Dessa forma, o ransomware tem mais tempo para se espalhar por outras máquinas da rede e pode ofuscar o ponto de entrada.
Depois do tempo de espera, o ataque é feito em quatro etapas:
1 – O Petya criptografa o Master File Table (MFT) conectado localmente ao drive NTFS
2 – Cria uma cópia do ransomware dentro do Master Boot Record (MBR) para o servidor infectado
3 – Força a reinicialização da máquina para que o usuário fique bloqueado
4 – Exibe uma tela com informações para o resgata dos arquivos e da máquina
Quando a MFT é criptografada, o usuário ou servidor é mantido offiline até o pagamento do resgate.
Como prevenir um ataque do Petya
Para se proteger desse ransomware, é preciso cumprir as mesmas etapas tomadas para se proteger do WannaCry:
- Desativar SMBv1 durante atualizações
- Bloquear a porta TCP 445 por fora (ou entre os segmentos, se possível)
- Aplicar todas as atualizações!
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.
