Consenso emergente: o ransomware Petya, ou ‘NotPetya’ como alguns especialistas chamam, foi construído para matar os discos, não resgatá-los.
O endereço de e-mail para pagamentos de resgate a criadores de NotPetya foi rapidamente bloqueado pelo host Posteo. (Imagem: Mikko Hypponen )
Seguindo o site Data Breach, especialistas em segurança da informação dizem que o malware de criptografia de arquivos que causou estragos em todo o mundo, ransomware Petya, na partir da terça-feira passada provavelmente nunca teve como objetivo tornar seus criadores ricos. Em vez disso, o malware parece ter sido projetado para limpar dados em PCs e garantir que não haja chance de que ele possa ser recuperado.
Alguns analistas chamam o ransomware de “NotPetya” ao invés de “Petya”, pois este se parece com o ransomware que surgiu no ano passado chamado Petya. NotPetya também está sendo chamado SortaPetya, Petna, ExPetr, GoldenEye e Nyetya.
Todos os mistérios de Petya ainda não foram desvendados, pois os especialistas em segurança de computadores tentam extrair pistas e possivelmente inferir a intenção do código. Mas há um consenso rapidamente emergente de que NotPetya não foi projetado para ser um ganhador de dinheiro.
“O ponto principal é que o ransomware é uma capa“, escreve Matt Suiche , diretor-gerente da empresa de resposta a incidentes com sede em Dubai Comae Technologies. “Agora, podemos dizer que esta conclusão é baseada em múltiplos atributos técnicos“.
Ainda não se sabe qual seria o motivo do Petya, mas sabe-se que existe uma tensão política grande entre os países mais afetados, além disto algumas características parecem fundamental tal teoria.
Por exemplo, os computadores infectados mostravam mensagens pedindo U$300, informava o endereço para o envio dos Bitcoins e passavam um endereço de email ao qual deveria ser enviado as informações.
A maioria dos ataques de ransomware informa um endereço exclusivo de Bitcoin para os invasores saberem saber quem pagou, mas o Petya dava o mesmo endereço para todos. Além disso, o e-mail listado era uma conta hospedada pela empresa alemã Posteo, que rapidamente encerrou a conta, tornando impossível que as vítimas chegassem aos atacantes.
Como o Petya criptografa apenas o bootrecord e não guarda nenhuma cópia de recuperação, é pouco provável que as vitimas, mesmo tendo algum suposto código de recuperação em mãos, consiga recuperar os dados.
Outra situação descoberta pela Kaspersky Labs divulgou é que o código apresentado pelo ransomware nada mais era que uma combinação de códigos aleatória. “Isso significa que o invasor não pode extrair nenhuma informação de descriptografia de tal sequência gerada aleatoriamente e exibida à vítima e, como resultado, as vítimas não poderão descriptografar qualquer um dos discos criptografados usando a identificação da instalação”, concluíram os pesquisadores da Kaspersky Lab Anton Ivanov e Orkhan Mamedov.
Objetivo verdadeiro: limpar
Ao invés de funcionar como ransomware, ambos pesquisadores da Kaspersky acreditam que o Petya, ou NotPeyta, está mais próximo de ser um “wipper“, ou um tipo de malware que pretende destruir computadores substituindo ou apagando partes críticas do sistema operacional.
O código Wiper já foi visto sendo usado em situações anteriores e com efeitos devastadores.
Em 2012, o malware wipper afetou milhares de computadores no produtor de petróleo estatal, Saudi Aramco. No ano seguinte, o malware wipper foi implantado em máquinas Linux que funcionam dentro de bancos sul-coreanos e empresas de mídia. E em 2014, a Sony Pictures Entertainment sofreu um ataque de malware wipper, desencadeado depois de emails sensíveis e cópias digitais de filmes terem sido roubadas, e depois os atacantes então vazaram todo o conteúdo.
O que confunde os especialistas é que o Petya se assemelha muito ao ataques de ransomware que utiliza recursos de rede e depois criptografa os arquivos do usuário.
No caso do Petya ainda não se sabe se o Petya apenas criptografa o MBR ou se ele corrompe propositalmente, mas o que tudo indica é que corromper o MBR seja o principal objetivo do Petya, ou NotPetya, da semana passada. Independente disto o consenso é que o Petya foi projetado para projetar o caos.
Deixe sua opinião na caixa de comentários.
fonte : DataBreach por MindSec 04/07/2017
Deixe sua opinião!