O Petya — ou NotPetya, entenda a polêmica — já chegou ao Brasil. Quem afirma são especialistas em segurança da Cipher, da ESET e da Trend Micro. Com origem na Ucrânia, o novo ransomware (vírus que bloqueia dados com criptografia em computadores e pede resgate em bitcoins) usa técnicas similares ao Petya, uma família de ransomware que encripta o disco rígido inteiro dos computadores com Windows afetados pela praga. A ameaça afetou empresas de segmentos como bancos, rede elétrica, comunicação, hospitais e governos, em diversos países, e também no Brasil.
“As investigações indicam que o ataque começou na Ucrânia, o país mais afetado até o momento. Já na América Latina, várias empresas foram afetadas, a maioria delas na Argentina, apesar de existirem casos também no Brasil”, disse Camillo Di Jorge, presidente da ESET, empresa de antivírus para computadores, no Brasil.
Vale notar que, quando as empresas de antivírus se referem a ransomware ou sequestro de informação, usam o termo de maneira genérica para se referir ao tipo de vírus que bloqueia o acesso aos arquivos com criptografia e exige o pagamento de um “resgate” em criptomoedas, neste caso, valores em bitcoin.
Hospital do Câncer sob ataque
De acordo com a Cipher, sites do governo e de várias empresas ucranianas foram o alvo principal. A empresa, entretanto, acredita que os ataques venham da Rússia. A praga está se espalhando por todo o mundo com velocidade, inclusive afetando empresas brasileiras, segundo Fernando Amatte, gerente de segurança da informação. O especialista explica que o malware a se aproveita da mesma vulnerabilidade do WannaCry — uma falha de SMBv1 do Windows — porém, o que ele faz de diferente é que, em vez de crifrar os arquivos individualmente, encripta o disco inteiro e, se infectada, a vítima não consegue ligar mais o PC.
“No Brasil, até agora o ataque está limitado a poucas empresas. Entre as que podemos citar, está o Hospital do Câncer de Barretos, no interior de São Paulo”, disse Amatte.
Em nota na sua página do Facebook, o Hospital de Câncer de Barretos confirma um indicente, sem detalhar qual praga. “O Hospital do Câncer de Barretos informa que o seu sistema foi afetado por uma invasão envolvendo hackers na manhã desta terça-feira, 27 de junho. As unidades de Jales (SP) e Porto Velho (RO), além dos Institutos de Prevenção, também sofreram com o ataque. Devido ao incidente envolvendo vírus computacionais, houve a interrupção de alguns processos assistenciais. A instituição está trabalhando para resolver essa situação o mais rápido possível, bem como garantir a segurança dos pacientes”, diz o comunicado.
Computador reinicia e encripta dados
A partir da falha, o vírus tem acesso à máquina da vítima com privilégios administrativos e quase todas as versões do Windows podem ser afetadas pelo novo ransomware, que pede os mesmos US$ 300 em bitcoins para devolver o acesso a pastas cifradas do computador nos PCs afetados pelo novo malware.
De acordo com a Trend Micro, uma vez que o ransomware está na máquina, faz com que o sistema operacional reinicie. É durante o boot que ocorre a criptografia dos arquivos. A empresa de segurança também afirma que já recebeu os primeiros casos de vítimas corporativas no Brasil, lembrando o caos que viveram empresas afetadas pelo WannaCry, outro caso de ransomware em escala global.
“O ramsonware tem duas formas básicas de propagação: usando um arquivo que pode ou não ser executado pelo usuário e de outra forma que é explorar falhas no sistema para executar comandos e bloquear dados com criptografia. Neste caso, a mesma falha de SMB1”, conta Franzvitor Fiorim, líder técnico da Trend Micro Brasil.
Ainda de acordo com o executivo, para fins de proteção, usuários podem desativar o SMB1, devem atualizar os patches de segurança do Windows e buscar soluções de virtual patch em grandes parques de máquinas. Esta última, segundo Fiorim, é uma soluçãode contorno para não desligar computadores ainda em operação.
“É uma blindagem de vulnerabilidades para manter computadores protegidos até que os patches possam ser aplicados”, explica.