33Giga Tecnologia para pessoas

Dicas

Ciberataque global: as principais dúvidas sobre o ransomware Petya respondidas

A ESET, fornecedora global de soluções de segurança, fez uma análise detalhada do novo ataque de ransomware que afetou empresas de todo o mundo, o Petya, no qual os cibercriminosos sequestram informações em troca do pagamento de resgate. Abaixo, confira as principais dúvidas sobre a ameaça respondidas pelos especialistas da companhia.

Leia mais
Ransomware: saiba como se prevenir contra este código malicioso
Um em cada quatro pontos de acesso de Wi-Fi estão esperando para ser invadidos
Segurança digital: cinco armadilhas da internet que você deve evitar

Quais as características deste ransomware?
Ele se diferencia por três aspectos diferentes. O primeiro se refere à questão da encriptação. O ransomware não só encripta arquivos de uma extensão específica, mas sim o MBR (Master Boot Record), que é o registro mestre de inicialização do computador. Outro ponto é sobre a propagação, já que pode utilizar diversas técnicas diferentes para infectar novas máquinas. Por fim, outra característica é a questão da exploração da vulnerabilidade de equipamentos que estejam desatualizados, deixando brechas para a infecção.

Ele é tão poderoso quanto o WannaCry?
Na verdade, os dois possuem o mesmo impacto já que impedem o acesso à informação armazenada no sistema. De qualquer maneira, este novo ataque encripta a informação que está nos equipamentos e, assim que é reiniciado, o sistema operacional fica inutilizável e as vítimas são obrigadas a reinstalá-lo.

O que exatamente faz esta ameaça?
Logo que o ransomware é executado, ele cria uma tarefa programada para reiniciar o computador em até uma hora. Enquanto isso, verifica se existem pastas ou discos compartilhados para se propagar. Em seguida começa a cifrar arquivos de determinadas extensões. Diferentemente da maioria dos ransomware, este código malicioso não acrescenta ou modifica a extensão para identificar os arquivos infectados. Por fim, o malware tentará eliminar os registros de eventos para não deixar nenhum rastro e ocultar suas ações.

Como avança de um país para outro? Chegou ao Brasil?
A propagação é justamente uma das características desta ameaça. Uma vez que a máquina foi infectada, ele tenta extrair os dados do usuário e utiliza comandos PsExec e WMIC para buscar pastas e discos compartilhados para se propagar pela rede que o equipamento está conectado. Assim, consegue se espalhar para outras regiões e países. Ele chegou ao Brasil por meio de empresas multinacionais conectadas com filiais europeias e asiáticas.

O que pode ser feito para evitar o ataque?
É imprescindível contar com uma solução de antivírus. A rede também deve estar configurada e segmentada corretamente. Monitore constantemente o tráfego para detectar algum comportamento anormal. As informações mais relevantes devem estar mapeadas e possuírem uma cópia para que seja fácil fazer a restauração em caso de um ataque. Outro ponto importante é sobre senhas. É fundamental que haja uma gestão, já que uma máquina com credencial de administrador infectada pode espalhar o malware por toda a rede.

Se já fui infectado, o que faço?
É possível utilizar técnicas forenses para tentar utilizar outro sistema operacional na memória e desta forma recuperar os arquivos encriptados. Porém, não há muito a ser feito além de aplicar o backup, a única maneira de evitar a reinstalação do sistema operacional. Em último caso, se não tiver backup, os cibercriminosos sempre solicitam resgate. A ESET não recomenda o pagamento, já que estimula a continuidade deste tipo de ataque.

Como os cibercriminosos estão agindo? Esperam um resgate?
O processo para recuperar a informação é o mesmo dos demais ataques similares, uma vez infectado, o ransomware envia as instruções de pagamento em bitcoins (equivalente a US$ 300).

Por que o sequestro de dados está tão comum?
Um dos motivos deste tipo de ataque ainda ser comum é a falta de conscientização e o nível de segurança de usuários e empresas. Muitos ainda desconhecem o impacto de um ciberataque como este até se tornar uma vítima, e se ver obrigado a pagar o resgate. Isso mantém os cibercriminosos motivados a continuar com este tipo de ataque e a desenvolver novas ameaças.

O ataque é organizado por um grupo?
É difícil imaginar que apenas uma pessoa esteja por trás desses atos, já que a ameaça incorpora várias técnicas de exploração, propagação e encriptação para tentar burlar sistemas de segurança. Entretanto, não é possível afirmar quantas pessoas estão envolvidas em ataques desta magnitude.

É possível saber quem são os cibercriminosos?
Ainda não é possível identificar os cibercriminosos por trás dos ataques. Diferentemente de um botnet, por exemplo, não existe um centro de controle que se conecte com a ameaça e que permita este tipo de identificação. Provavelmente utilizaram TOR e um servidor anônimo no ataque, a fim evitarem a identificação. O pagamento do resgate é feito por bitcoins, criptomoeda que também torna praticamente impossível o rastreamento do destino final.

Se você tem alguma dúvida sobre tecnologia, escreva para [email protected] e suas questões podem ser respondidas