A equipa de Resposta a Incidentes da Check Point detetou numerosos ataques de uma nova variante do malware Petya, que se está a expandir lateralmente dentro de redes empresariais.

Tudo parece indicar que está a utilizar o exploit SMBv1 ‘EternalBlue’, tal como o fez antes o WannaCry. Num primeiro momento, foi “apanhado” a atacar entidades financeiras ucranianas, tendo-se depois espalhado de forma massiva, sobretudo na Europa.

Por ser um ataque tão recente, a Check Point está a receber nova informação dos seus clientes e da Check Point Lab a cada minuto. Por esta razão, a empresa está a atualizar o seu blog de cada vez que recebe novos dados.
Http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/

Maya Horowitz, responsável da Equipa de Inteligência de Ameaças da Check Point, explica: “Parece que se trata de uma nova versão do ransomware Petya, visto pela primeira vez em março de 2016, e que se está a expandir muito rapidamente por todo o mundo através das redes empresariais, da mesma forma que o fez o “WannaCry” no mês passado”.

“Ao contrário de outros ransomware, o Petya não cifra os ficheiros nas empresas infetadas um por um, mas bloqueia todo o disco rígido. Para se proteger, as empresas devem aplicar a última atualização de segurança da Microsoft de imediato e desativar o protocolo de intercâmbio de ficheiros SMBv1 nos seus sistemas Windows”.
“As empresas também devem evitar que aconteçam infeções realizando verificações, bloqueio e filtragem de ficheiros suspeitos antes que estes entrem nas suas redes. Devem, ainda, educar os seus colaboradores acerca dos riscos potenciais das mensagens de email provenientes de pessoas desconhecidas, ou de emails suspeitos que parecem enviados por contactos conhecidos.”

Contexto

Este ataque massivo teve início na Ucrânia, onde causou enormes danos nas suas infraestruturas críticas

Espalhou-se primeiro pela Europa primeiro, tendo depois alcançado a América do Norte, América do Sul, Médio Oriente e Ásia

As consequências de uma expansão tão rápida podem ter um efeito negativo na vida diária dos cidadãos, paralisando os serviços de inteligência dos países afetados e modificando a nossa rotina diária

Ainda não se sabe se há alguma ligação entre os dois componentes desta campanha: Ransomware e roubo de credenciais. Neste momento, estes ataques têm o potencial para criar um dano significativo, tendo já causado sérios prejuízos nas infraestruturas críticas dos Estados Unidos e outros países

Detalhes do ataque:

Espalha-se através de um ficheiro RTF infetado, que instala as credenciais de a aplicação no equipamento infetado

O método de infeção do Petya ainda não é claro, mas tem a capacidade de se expandir através dos equipamentos próximos ao infetado, de forma similar ao que vimos na campanha do WannaCry, que usava o mesmo protocolo. Move-se lateralmente dentro das redes empresariais. De momento, existem apenas cerca de 10.000 dólares na conta de BitCoins associada ao ciberataque

Este ataque demonstra duas tendências principais:Novas variantes de malware podem ser criadas e distribuídas de forma global. As empresas ainda não estão preparadas para evitar que estes tipos de ataque penetrem nas suas redes

As organizações devem centrar-se na prevenção. Nestes tipos de ataques, a deteção de ameaças chega tarde, quando o dano já foi feito. A Prevenção Avançada de Ameaças é essencial, e permite bloquear os conteúdos suspeitos antes que entrem na rede.

Pontos Chave

1.    O ataque podia ter sido evitado, e os que veremos no futuro também:
Mais de 93% das empresas não dispõem da tecnologia necessária para se proteger contra este tipo de ataque
Não é por acaso que estos ataques de expandem de forma tão rápida

2.    As empresas, governos e organizações devem dar um passo em frente:
É necessário investir no futuro da cibersegurança
Temos que implementar tecnologias modernas de segurança para acabar com estes ataques
A cibersegurança não é como um seguro, mas constitui uma proteção contra algo que sabemos que vai acontecer

3.    A segurança fragmentada é parte do problema:
Existem demasiadas tecnologias pouco eficazes e não colaborativas, que se dedicam a detetar um ataque “depois de casa roubada”
São necessárias arquiteturas unificadas que se centrem em prevenir os ataques antes que estes cheguem às redes das empresas.

Partilhe no Facebook

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *