O m Petya que está se espalhando pelo protocolo SMB do Microsoft
Windows utiliza a ferramenta de exploração ETERNALBLUE para se
disseminar, revelam especialistas da Palo Alto Networks, empresa
especializada em proteção cibernética. O caminho é o mesmo utilizado
pelo WannaCry, que afetou o mundo em maio. De acordo com a empresa, os
usuários do Windows devem seguir as seguintes etapas gerais para se
protegerem:
Aplicar atualizações de segurança no MS17-010
Bloquear conexões de entrada na porta TCP 445
Criar e manter bons backups para que, se ocorrer uma infecção, você possa restaurar seus dados.
Segundo
ainda os especialistas da Palo Alto Networks, Petya é parte da família
de ransomware que funciona modificando o Registro de Inicialização
Mestre (MBR) do sistema Windows, fazendo com que o sistema falhe. Quando
o usuário reinicia seu PC, o MBR modificado impede que o Windows seja
carregado e, em vez disso, exibe uma nota ASCII Ransom exigindo o
pagamento da vítima.
A versão mais recente do Petya ransomware
está se espalhando por meio do Windows SMB e está usando a ferramenta de
exploração ETERNALBLUE, que explora o CVE-2017-0144 e foi originalmente
lançada pelo grupo Shadow Brokers em abril deste ano.
Depois que o sistema é comprometido, a vítima é convidada a enviar
300 dólares para um endereço Bitcoin específico e, em seguida,
encaminhar um e-mail com o ID da carteira de bitcoin da vítima para
wowsmith123456@posteo[.]Net para recuperar sua chave de descriptografia
individual. Cerca de 13 pagamentos já tinham sido feitos.
Os
ataques de Ransomware são muito comuns, mas raramente são combinados com
uma exploração que permite que o malware se espalhe como uma
contaminação de rede. Os ataques WannaCry em maio de 2017 demonstraram
que muitos sistemas Windows não foram corrigidos por essa
vulnerabilidade. A disseminação do Petya usando essa vulnerabilidade
indica que muitas organizações ainda podem estar vulneráveis, apesar da
atenção recebida devido ao WannaCry.
Fonte: Convergencia Digital