Alerta sobre Petya Ransomware

A FORTINET, principal parceiro da SERCOMPE para o portfólio de segurança publicou recentemente uma declaração sobre a ameaça Petya. Confiram abaixo :

Declaração da Fortinet:

Atualmente, estamos rastreando um novo ransomware que usa um código malicioso de uma variante conhecida como Petya. Este código faz parte de uma nova onda de ataques de ransomware de múltiplos vetores que chamamos de “ransomworm”, que aproveita as vulnerabilidades de sistemas e dispositivos. O ransomworm foi desenvolvido para se movimentar automaticamente entre vários sistemas, em vez de ficar em um só lugar. Parece que o ransomworm Petya está usando vulnerabilidades atuais semelhantes às que foram exploradas no recente ataque do vírus WannaCry.

Diferente do WannaCry, que encriptou arquivos de dados, o ransomware Petya encriptou um segmento do disco rígido que faz com que o equipamento inteiro se torne inoperável.

A correção desta vulnerabilidade foi lançada pela Microsoft no início deste ano. Recomendamos que as organizações atualizem seus sistemas imediatamente.

Este ransomworm está causando impacto em um grande número de indústrias e organizações, incluindo setores importantes como energia, bancos e sistemas de transporte.

O Fortinet Security Fabric fornece uma proteção abrangente contra o ransomworm Petya por vários meios integrados e automatizados, incluindo a detecção automática de intrusão (IPS/IDS), prevenção de intrusão (antivírus), análise em tempo real de código suspeito (FortiSandbox) e compartilhamento automatizado de informações.

Novo vírus ransomware segue passos do WannaCry

por Aamir Lakhani, estrategista sênior de Segurança da Fortinet

Estamos rastreando uma nova variante do vírus ransomware que surgiu no mundo todo, conhecida como Petya. Este vírus está afetando vários setores e organizações, incluindo infraestrutura básica, como energia, bancos e sistemas de transporte.

Esta é uma nova geração de ransomware desenvolvida para tirar proveito de explorações recentes. Esta versão atual visa as mesmas vulnerabilidades que foram exploradas no recente ataque do vírus WannaCry em maio deste ano. O vírus do ataque de hoje, conhecido como Petya, é um ransomworm. Nesta variante, em vez de visar apenas uma organização, este vírus usa uma abordagem abrangente que ataca qualquer dispositivo que encontrar, cujo worm anexado ele puder explorar.

Acredita-se que este ataque começou com a distribuição de um documento do Excel que explora uma vulnerabilidade conhecida do Microsoft Office. Assim que um dispositivo for infectado desta forma, o vírus Petya usa a mesma vulnerabilidade usada pelo WannaCry para se espalhar e invadir outros dispositivos. Seu comportamento semelhante a um vírus é devido à sua sonda ativa para um servidor SMB. Parece estar se espalhando por meio do EternalBlue e WMIC.

Depois de atingir um dispositivo vulnerável, o vírus Petya parece prejudicar o Master Boot Record (MBR) durante o ciclo de infecção. Depois, exibe ao usuário uma notificação de resgate: “Seus arquivos não estão mais acessíveis porque foram criptografados”, e exige um resgate de aproximadamente $300 na moeda digital Bitcoin. Em seguida, especifica que, se o usuário desligar o computador, perderá todos os dados do sistema.

Este ataque possui uma tática diferente dos anteriores. Nas outras versões do ransomware, conforme pode-se perceber, havia o relógio em contagem regressiva ou uma remoção gradual de arquivos. Normalmente a maior perda eram os dados. No entanto, no caso do Petya, que altera o Master Boot Record, o risco é perder todo o sistema. Além disso, o sistema é reiniciado em um ciclo de uma hora, adicionando um outro elemento de negação de serviço ao ataque.

Curiosamente, além das vulnerabilidades do Microsoft Office, o Petya usa o mesmo vetor de ataque que o WannaCry, explorando as mesmas vulnerabilidades da Microsoft que foram descobertas pelo Shadow Brokers no início deste ano. Porém, como foram usados vetores de ataque adicionais nesta exploração, somente a correção não teria sido adequada para interromper esta exploração por completo, isso significa que a correção deve ser combinada com boas ferramentas e práticas de segurança. Os clientes da Fortinet, por exemplo, estão protegidos de todos os vetores de ataque, pois foram detectados e bloqueados pelas nossas soluções ATP, IPS e NGFW. Além disso, nossa equipe de AV emitiu uma nova assinatura de antivírus algumas horas após a descoberta para melhorar a defesa.

Existem alguns aspectos realmente interessantes sobre este ataque. A primeira é que, apesar da grande divulgação das vulnerabilidades e correções da Microsoft, e da natureza global do ataque WannaCry, aparentemente ainda existem milhares de organizações, incluindo aquelas que gerenciam infraestruturas básicas, que falharam na correção de seus dispositivos. O segundo aspecto é que isso pode ser simplesmente um teste para ataques futuros visando vulnerabilidades divulgadas recentemente.

De uma perspectiva financeira, o vírus Wannacry não teve muito sucesso, pois gerou muito pouca receita para seus desenvolvedores. Em parte, isso ocorreu porque os pesquisadores conseguiram interromper e desativar o ataque. Porém, o ataque do vírus Petya é muito mais sofisticado, embora ainda não se saiba se terá mais sucesso em termos financeiros que o ataque anterior.

Até agora, duas coisas estão claras: 1) muitas organizações apresentam segurança deficiente. Quando uma exploração atinge uma vulnerabilidade conhecida para a qual uma correção está disponível há meses ou anos, a culpa é das próprias vítimas. Os principais elementos desse ataque visavam vulnerabilidades com patches disponíveis há algum tempo; e 2) estas mesmas organizações também não possuem ferramentas adequadas para detectar esses tipos de explorações.

Ransomware veio para ficar

É dramático o aumento de vírus tipo ransomware, além da surpreendente gama de variantes no ano passado. Agora vemos e rastreamos vários tipos de ransomware.

Tradicionalmente, o ransomware é um ataque direcionado; isso significa que a vítima é selecionada antecipadamente e que o ataque foi planejado para atacar especificamente essa organização ou rede individual. Neste caso, os recursos básicos, como dados, são criptografados e um resgate é exigido em troca de uma chave para desbloqueá-los.

Também vimos um aumento no tipo de ataque ransomware baseado na negação de serviço, que pode assumir várias formas. O principal ataque de negação de serviço é direcionado a uma organização que sobrecarrega os serviços, tornando-os indisponíveis para os clientes e usuários. Um resgate é exigido para desativá-lo.

O Mirai, que foi lançado em agosto e setembro de 2016, foi o maior ataque de negação de serviço da história, em parte porque usou centenas de milhares de dispositivos de IoT (Internet das Coisas) explorados. Recentemente, um novo botnet baseado em IoT e parecido ao Mirai, chamado Hajime, usou dispositivos DVR explorados para atingir organizações com um ataque ao sistema DDoS combinado à exigência de resgate para desativá-lo. O Hajime é uma exploração de IoT da próxima geração. É uma plataforma cruzada que atualmente é compatível com cinco plataformas diferentes e inclui um conjunto de ferramentas com tarefas automatizadas, listas de senhas dinâmicas, tornando-a dinâmica e atualizável, e que tenta imitar o comportamento humano para não ser identificada pelo radar de detecção.

Um avanço interessante foi o desenvolvimento do ransomware como serviço (RaaS), permitindo que criminosos menos técnicos usem a tecnologia ransomware para iniciar seus próprios negócios de extorsão em troca de fornecer aos desenvolvedores uma parte dos lucros. Nesta família, vimos recentemente o primeiro ransomware RaaS visando MacOS, que até agora permaneceu fora do radar dos atacantes. Porém, como o perfil dos usuários de Mac pode incluir engenheiros e executivos corporativos, o advento de ataques visando esses dispositivos não deve ser uma surpresa.

O que vemos agora são outras duas explorações adicionadas à família de ameaças de ransomware. Com o WannaCry, vimos os desenvolvedores de ransomware pela primeira vez combinando ransomware com um worm para acelerar sua instalação e expansão na escala e no escopo do ataque. E agora, com o Petya, vemos o ataque ao Master Boot Record para aumentar as consequências do não pagamento do resgate exigido, com a perda de arquivos pessoais, que poderiam ter sido armazenados em backup, ou até a perda do dispositivo inteiro.

Quais proteções a Fortinet fornece?

Assinatura AV:

W32/Petya.EOB!tr

W32/Agent.YXH!tr

Outras assinaturas estão sendo analisadas.

Assinatura IPS:

MS.Office.RTF.File.OLE.autolink.Code.Execution

(lançada em 27 de junho de 2017)

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

(lançada em 14 de março de 2017, atualizada em 10 de maio de 2917)

Além disso, as regras de IPS do WannaCry da Fortinet parecem proteger contra explorações que viam essas vulnerabilidades. As equipes da Fortinet estão verificando essa possiblidade.

Detecção de Sandbox:

O Fortinet Sandbox (FSA) detecta este ataque.

Comunicações TOR:

Bloqueio do tráfico de saída do TOR por meio das assinaturas AppControl

Sobre a Fortinet

Fortinet (NASDAQ: FTNT) ajuda a proteger redes, dados e usuários de ameaças que estão em constantemente evolução. Como líder global em segurança de rede de alto desempenho, permitimos a empresas e governos consolidar e integrar tecnologias independentes sem sofrer quedas de desempenho. Diferentemente das alternativas caras, inflexíveis e de baixo rendimento, as soluções da Fortinet permitem aos clientes adotar novas tecnologias e oportunidades de negócios enquanto protegem sistemas essenciais e conteúdo.

Saiba mais em fortinet.com