Kris Lamb, vice-presidente e gerente geral da divisão de segurança na nuvem da Forcepoint:

Declaração da Forcepoint sobre ataque cibernético global com ransomware em 27 de junho – Petya

Forcepoint Security Labs está ciente de uma nova variação do ransomware Petya que está afetando empresas em todo o mundo. Empresas do Reino Unido, Ucrânia, Holanda, Espanha, Estados Unidos e de outros mercados estão relatando ataques. Constatamos que o ransomware pode se disseminar lateralmente dentro de uma empresa através de uma vulnerabilidade no protocolo SMBv1.

Analisamos uma amostra associada ao surto (SHA256: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745).  A amostra em si é um arquivo DLL, lançado com o parâmetro de código rígido ‘# 1’.

Após a execução, ele tenta espalhar-se através de um exploit SMBv1 antes de reiniciar a máquina, apresentando uma tela falsa ‘CHKDSK’ e mostrando a mensagem de resgate. A reinicialização e as mensagens subseqüentes são típicas do comportamento de Petya anteriormente observado.

Comentário:Como nos estágios iniciais da infecção por WannaCry, o vetor de infecção inicial para uma determinada organização não está claro.”

Comentário: parece haver um atraso significativo entre a execução do malware e o início do processo de criptografia. Dado que o malware reinicia a máquina, é quase certo que permita uma quantidade razoável de tempo para se propagar em redes.

Os ataques são executados utilizando-se uma carteira comum de bitcoins. Vejam, abaixo, uma imagem da mensagem de ransomware exibida nos sistemas infectados.

Ainda estamos reunindo informações sobre essa nova variação do ransomware Petya mas, como primeira medida, aconselhamos que todos revisem os conselhos que foram dados durante o ataque do Wannacry:

  • garanta que a atualização de segurança MS17-010 esteja instalada em todas as máquinas com Windows da sua empresa;
  • garanta que você tenha soluções de segurança para e-mails e para a web capazes de bloquear e-mails maliciosos, bloquear fases intermediárias de download de payload em tempo real, e que possam fornecer recursos de sandboxing de URLs para proteção adicional para “apontar-e-clicar”;
  • de acordo com a orientação que a Microsoft divulgou em 2016, os clientes devem considerar a possibilidade de desabilitar o SMBv1 e outros protocolos de legado de todos os sistemas Windows em que isso não afete negativamente a função dos sistemas de legado no ambiente. Se você for cliente da Forcepoint, pedimos que consulte este Artigo sobre a Base de Conhecimento para identificar as medidas que são adequadas para seu produto: https://support.forcepoint.com/KBArticle?id=000012832

Estamos investigando ativamente esse ataque e divulgaremos mais informações em breve. As informações atualizadas serão divulgadas em blogs.forcepoint.com e forcepoint.com

Estas informações já podem ser acessadas no nosso blog: https://blogs.forcepoint.com/insights/forcepoint-statement-june-27-worldwide-ransomware-attack-petya

Links para informações adicionais sobre o WannaCry:
https://blogs.forcepoint.com/security-labs/wannacry-multiple-malware-families-using-eternalblue-exploit

https://blogs.forcepoint.com/security-labs/wannacry-post-outbreak-analysis

LEAVE A REPLY

Please enter your comment!
Please enter your name here