Malwares dos anos 2010: Petya e WannaCryptor

Malwares dos anos 2010: Petya e WannaCryptor

Neste último post da série sobre malwares que marcaram história, lembramos dois dos mais importantes desta década: Petya e WannaCryptor.

Neste último post da série sobre malwares que marcaram história, lembramos dois dos mais importantes desta década: Petya e WannaCryptor.

Começamos esta série sobre os malwares que ficaram na história com Brain e Morris, nos anos 80. Então, continuamos com os anos 90 e lembramos o particular Michellangelo e Melissa, até chegar aos anos 2000 com Loveletter e Conficker. Desta vez, e para terminar esta série, lembramos dois malwares: Petya e WannaCryptor, duas ameaças que refletem a evolução do malware ao longo do tempo.

Petya

Assim como destacamos em nosso relatório Tendências 2016, naquele ano o ransomware começou a ganhar destaque. E assim os fatos mostraram, quando em março de 2016 o ransomware Petya apareceu – uma ameaça voltado especificamente para o pessoal de recursos humanos de empresas alemãs que afetado principalmente computadores que usavam o Windows.

O processo de infecção da primeira campanha do Petya usou a engenharia social como técnica. Tudo começou com um e-mail que veio para o pessoal de recursos humanos (acostumados a receber e-mails de origem desconhecida) em que um suposto candidato para uma posição na empresa enviou um e-mail que não levantava qualquer suspeita, considerando que estava bem escrito. Nesse e-mail, o “candidato” enviava os documentos necessários através Dropbox e uma pasta chamada “solicitação de emprego”, que continha um executável que escondia o ransomware e que solicitava permissões de administrador. O fato de que o arquivo foi enviado através do serviço Dropbox impediu a detecção do malware através do processo de varredura de arquivos anexos.

Quais problemas foram causados pelo Petya? Numa primeira fase o malware criptografava o Master Boot Record (MBR), enquanto que numa segunda fase exibia uma tela de erro no Windows, conhecida como “Blue Screen of Death”, que solicitava reiniciar o computador. Quando executada novamente, a ameaça simulava realizar uma “verificação de disco” (chkdsk) e advertia que “um dos discos tem erros e precisa ser reparado”, quando na verdade o que ele fazia era criptografar uma grande porcentagem de arquivos que impediam acessar as diferentes partições do disco rígido. Em seguida, aparecia uma mensagem contendo uma nota que indicava os passos para restaurar o disco e que para corrigir o problema seria necessário realizar um pagamento em bitcoins.

Posteriormente, o Dropbox conseguiu desinfectar arquivos que continham o Petya de seus sistemas e um usuário com o pseudônimo leostone lançou uma ferramenta gratuita que gerava uma chave que permitia reparar os arquivos criptografados na máquina infectada.

Meses mais tarde, começaram a surgir novas versões do Petya contendo um segundo ransomware conhecido como Mischa e que criptografava arquivos com diferentes extensões e exigia o pagamento de um resgate para recuperar os arquivos. Esse segundo ransomware aparecia apenas se o usuário não concordasse em conceder permissões de administrador no momento em que desejasse executar o arquivo.

WannaCryptor

Como publicamos em maio do ano passado: WannaCry fez com que o mundo falasse sobre segurança. WannaCryptor, também chamado WanaCry, é um ransomware que se propagou massivamente em todo o mundo e gerou um rebuliço infectando cerca de 200.000 computadores de grandes empresas e organizações em 150 países, tornando-se em um assunto de interesse mundial.

Em 12 de maio de 2017, surgiram as primeiras notícias sobre o ataque do ransomware WannaCryptor. Com o passar das horas, o impacto e a magnitude do WannaCryptor começaram a se refletir na mídia em todo o mundo. Na Inglaterra, por exemplo, os computadores do Sistema Nacional de Saúde foram infectados e paralisaram todo o sistema de saúde. Na Espanha, no mesmo dia 12 de maio, o El Mundo anunciou que a companhia Telefónica sofreu o sequestro de 85% de seus dispositivos.

Uma das peculiaridades desta ameaça que afetava computadores com o Windows, é que para ativar o ransomware explorava uma vulnerabilidade chamada EternalBlue/DoblePulsar (especula-se que este exploit foi desenvolvido pela NSA e roubado pelo grupo Shadow Brokers em abril 2016), que havia sido corrigida pela Microsoft dois meses antes do surto. Esse fato, além da maneira questionável como os patches de segurança são distribuídos, reflete a importância das atualizações. Além disso, a exploração desta vulnerabilidade permitiu a execução remota de comandos através do Samba (SMB).

Um fator que contribui para o alto impacto do WannaCryptor é que, além de ser um ransomware, tinha características de um worm (ransomworm), o que fez com que ao infectar um computador pudesse se propagar rapidamente pela rede e infectar outros dispositivos.

As máquinas infectadas tiveram seus arquivos criptografados e acesso negado. Para recuperar e obter a chave de descriptografia, os cibercriminosos por trás do WannaCry solicitavam o pagamento de US$ 200 em bitcoins para resgatar os arquivos criptografados.

Enquanto a propagação da primeira variante do WannaCryptor conseguiu ser interrompida com a descoberta de um “kill switch” por um pesquisador britânico, logo surgiram novas variantes que não eram tão fáceis de deter.

Depois dos prejuízos causados ​​pelo WannaCryptor, os pesquisadores da ESET revelaram que em maio de 2018, um ano após o surto, que o exploit EternalBlue usado para ativar o ransomware registrava mais atividade do que na época do surto do WannaCryptor – o que mostra que ainda existem dispositivos sem patches.

Discussão