Cyberataque Petya

Esta semana um novo ciberataque ganhou grande destaque no mundo todo, por ter afetado milhares de empresas e corporações ao redor do mundo. Um novo vírus conhecido como Petwrap começou a infectar máquinas de grandes empresas, incluindo bancos estatais, multinacionais como a empresa farmacêutica Merck e no Brasil o Hospital do Câncer de Barretos e suas unidades. 


Assim como o WannaCry, comentado aqui, ele criptografa os dados da máquina infectada e só os descriptografa mediante o pagamento de um resgate, e ele já rendeu cerca de R$ 20 mil aos atacantes. Assim como o WannaCry, o Petwrap explora a mesma vulnerabilidade de SMBv1 que o WannaCry explorava para infectar novas máquinas.

Quando uma máquina é infectada pelo Petwrap, segundo Godoi (o diretor de cibersegurança da Cipher), ela recebe apenas um arquivo executável bem pequeno. Por seu tamanho reduzido, ele passa despercebido pela maioria dos programas de antivírus e consegue se instalar na máquina afetada. Feito isso, ele se conecta a servidores externos para baixar deles outros arquivos e módulos que permitem que ele cause todo o estrago que ele causa.

No caso do Petwrap, os arquivos baixados alteram o "master boot record" (MBR) da máquina infectada. Essa parte é responsável pela inicialização do computador, e a mudança faz com que o computador não seja inicializado. Além disso, todo o conteúdo dos discos da máquina infectada são criptografados, e se tornam completamente inacessíveis até que sejam descriptografados.

Segundo Cleber Brandão, o gerente do laboratório de inteligência da BlockBit, esse aspecto diferencia o Petwrap do WannaCry. "O WannaCry ainda deixava você acessar seu computador para realizar o pagamento em bitcoin, por exemplo. Mas com o Petwrap, você não abre nem o Windows", comenta.

Como se proteger

Para Godoi, são as de sempre: manter seu sistema operacional sempre atualizado, usar uma solução de antivírus (de preferência paga, e sempre atualizada), e tomar cuidado com os links e arquivos nos quais você clica. Também é essencial, para Godoi, ter backups - muitos deles. "O ideal é você ter três ou quatro backups diferentes, sempre atualizados".

Brandão, por sua vez, recomenda que ao menos um desses backups esteja offline. "De repente, quando você é vítima de um ataque desses, até mesmo a unidade de rede onde o seu backup está acaba sendo afetada". Ele considera que os backups "são como seguro de carro, que você tem para não precisar usar", e que é bom ter pelo menos um deles na nuvem e um local.

Outra dica importante, de acordo com Brandão, é criar redes locais para as empresas. Por exemplo: os departamentos de RH e de Finanças de uma empresa grande devem ter redes diferentes. "Se não, imagina que o departamento de RH recebe um monte de CVs e um deles está infectado. Isso pode acabar afetando o departamento de Finanças da empresa, que não tem nada a ver", comenta.

Quanto à atualização do Windows, Brandão ressalta que é importante fazê-la apenas pelo site oficial da Microsoft. "Quando um ataque desses acontece, muita gente aproveita para fazer ataques de phishing também", diz. Ou seja: outros atacantes enviam e-mails fingindo que são a Microsoft com links que supostamente contêm a atualização do Windows 10, mas que na verdade apenas infectam a máquina com outros arquivos maliciosos.

Postar um comentário