No início da tarde desta terça-feira, 27, empresas da Ucrânia, França, Dinamarca e Estados Unidos foram infectadas pela nova variante do ransomware Petya, chamada de Petwrap, que, assim como o WannaCry, tira proveito de uma vulnerabilidade no Windows.
O governo da Ucrânia, bancos e rede elétrica daquele país foram os atingidos com mais severidade, mas até empresas das cidades de Pittsburgh, Pensilvânia (nos EUA) sofreram com o ciberataque. Diferente do Wansacray, as companhias não podem mais desbloquear seus computadores, mesmo que paguem o resgate, pois o endereço de e-mail para o pagamento foi desativado pelo provedor.
O "Petya" ransomware causou graves interrupções em grandes empresas, incluindo o gigante publicitário WPP, a empresa francesa de materiais de construção Saint-Gobain e as empresas russas de aço e petróleo Evraz e Rosneft.
Os computadores infectados exibem uma mensagem exigindo um resgate Bitcoin no valor de US $ 300. Aqueles que pagam são convidados a enviar a confirmação do pagamento para um endereço de e-mail. No entanto, esse endereço de e-mail foi encerrado pelo provedor de e-mail. "Nós não toleramos qualquer uso indevido da nossa plataforma", disse o posto de correio eletrônico alemão Posteo em uma postagem no blog.
Isso significa que não há mais nenhuma maneira para as pessoas que decidem pagar o resgate para entrar em contato com o atacante por uma chave de descriptografia para desbloquear seu computador.
O ataque foi relatado pela primeira vez na Ucrânia, onde o governo, os bancos, a energia elétrica do estado e o sistema de aeroportos e metrô de Kiev foram afetados. Entre as empresas afetadas no país estão as fornecedoras de energia elétrica Kyivenergo e Ukrenergo, o National Bank of Ukraine (NBU), Oschadbank, e as organizações do setor de telecomunicações Kyivstar, LifeCell e Ukrtelecom. A ameaça também impactou múltiplas estações de trabalho da unidade ucraniana da empresa de mineração Evraz. O sistema de monitoramento de radiação em Chernobyl foi desligado, forçando os funcionários a usar contadores portáteis para medir os níveis na zona de exclusão da antiga usina nuclear.
O gigante da gastronomia Mondelez, a firma jurídica DLA Piper, o gigante dinamarquês de transporte e transporte AP Moller-Maersk e Heritage Valley Health System, que administra hospitais e instalações de atendimento em Pittsburgh, também disse que seus sistemas foram atingidos pelo malware.
A WPP disse em um comunicado que os sistemas de TI em várias de suas subsidiárias foram afetados, acrescentando que estava "avaliando a situação e tomando as medidas adequadas".
Os analistas da Kaspersky Labs disseram ter rastreado as infecções para "um novo resgate que não foi visto antes". O ataque "NotPetya" atingiu 2.000 usuários na Rússia, Ucrânia, Polônia, França, Itália, Reino Unido, Alemanha e EUA, segundo Kaspersky.
O ransomware Petya afetou ainda fornecedores de energia elétrica e bancos em países como Rússia, Espanha, Reino Unido e Índia, incluindo a gigante petrolífera russa Rosneft e a empresa internacional de logística Maersk.
Ainda não há dados sobre a quantidade de sistemas que já foram infectados pelo ransomware Petya nas últimas horas, mas especula-se que o ransomware possa ter uma extensão maior que a do WannaCry.
Diferente dos outros ransomwares, que criptografam os arquivos do sistema da vítima um a um, o Petya reinicia o computador do usuário, substitui todo o master boot record (MBR) e criptografa a tabela de arquivos mestre (MFT), impedindo que o usuário acesse seus arquivos.
O Petya vai além dos ransomwares tradicionais, pois criptografa, de uma só vez, partes inteiras do HD, impedindo que o usuário acesse até mesmo o Windows. O ransomware então exibe uma mensagem para explicar à vítima que seus arquivos estão criptografados e pede o pagamento de US$ 300 em bitcoins.
Ele tira proveito da mesma vulnerabilidade que o WannaCry usou, em maio de 2017, para infectar mais de 300 mil sistemas e servidores ao redor do mundo em apenas 72 horas, conhecida como EternalBlue. A falha de segurança foi descoberta pela NSA e vazada por um grupo hackerv conhecido como The Shadow Brokers.
Para o CEO da iBLISS Digital Security, Leonardo Militelli, a nova onda de ataques mostra que muitas empresas ainda não aprenderam a importância de contar com processos consistentes de segurança da informação, especialmente quando o assunto é a atualização de sistemas. "A falta de processos está fazendo novas vítimas. Enquanto as empresas não tomarem consciência da real importância de contar com processos maduros de gestão de segurança, continuaremos a ver esses problemas".
Apesar de a Microsoft ter emitido a correção para o problema em todas as versões do Windows em março de 2017, ondas de ataques como o WannaCry e o Petya mostram que muitas empresas ainda não realizaram a instalação dos patches de segurança.
"O WannaCry e o Petya mostram que empresas no mundo todo enfrentam um problema com a atualização de sistemas. Isso acontece porque muitas acabam se dedicando mais à resolução dos incidentes do que à prevenção desse tipo de ameaça ou à mitigação dos riscos", explica Militelli.
Para ele, é preciso investir em programas de gestão de segurança para lidar com a complexidade cada vez maior do ambiente de TI, que acaba tornando a atualização das aplicações um desafio e gerando uma série de vulnerabilidades críticas.
"Vale lembrar que essa é a terceira vez que uma ameaça tira proveito dessa mesma vulnerabilidade. Apenas alguns dias depois do WannaCry, especialistas descobriram que o malware Adylkuzz tirou proveito dessa mesma falha de segurança do Windows para minerar moeda virtual", afirma.
