You are here

Ataque massivo afetou mais 2 mil utilizadores com sistemas Windows desatualizados

Escrito por João Fernandes a 27 Jun. 2017

Assistiu-se hoje a um novo ataque de ransomware à escala mundial, semelhante no impacto e mediatismo ao verificado no passado mês que ficou conhecido por WannaCry. Este novo malware, batizado como PetrWrap, é uma evolução de um outro que afetou sistemas um pouco por todo o mundo em 2016 denominado como Petya.   

 

Similarmente ao WannaCry, caracteriza-se por impedir o acesso ao computador e dados nele existentes, bem como de outros por ele acessíveis, exigindo um resgate a ser pago em BitCoin (300US$). Adicionalmente, e ainda de forma semelhante ao WannaCry, usa uma vulnerabilidade existente em sistemas Microsoft não atualizados para se propagar e infetar redes inteiras de organizações.

O aspeto diferenciador deste malware relativamente ao WannaCry é que também usa mensagens de correio-electrónico armadilhadas, especificamente formatadas, para infetar computadores.  

 

Os anexos incluídos nas mensagens de correio-electrónico usam uma vulnerabilidade crítica do Microsoft Office (CVE-­2017-­0199 Office RTF vulnerability) para fazer download do instalador do Petya a partir da Internet e execução da propagação da infeção a toda a rede como mencionado.

 

Um aspeto altamente relevante desta vulnerabilidade é que não depende de qualquer ação indevida dos utilizadores para ser explorada, bastando que estes “abram” o documento usando o   Word ou Wordpad para propiciar a infeção.

 

Este malware é mais agressivo que o WannaCry dado cifrar o MFT (Master File Tree) e substituir o MBR (Master Boot Record) com um bootloader próprio, não se limitando a cifrar apenas ficheiros específicos. 

 

Basicamente, toma controlo total da máquina, apresentando apenas a nota de resgate e impedindo o arranque normal do equipamento.      
     

 

 

A inibição da infeção através de mensagens de correio-electrónico é possível pela aplicação de um patch (correção) disponibilizado pela Microsoft (CVE-­2017-­0199) em 11 de abril de 2017.

A inibição da propagação do malware é possível pela aplicação de um patch disponibilizada pela Microsoft (CVE-­2017-­0144) em março de 2017. 

 

Organizações que tenham aplicado o segundo patch em larga escala verão apenas afectados os computadores onde os anexos de mensagens de correio-electrónico supra-­‐mencionadas sejam acedidos pelos utilizadores e o primeiro dos patches acima indicados não tenha sido aplicado.

 

Recomenda-se o patching das duas vulnerabilidades assim que possível. Se devido a riscos de compatibilidade com outros software instalados tal não for possível, devem ser tomadas medidas de mitigação complementares dado serem vulnerabilidades que serão certamente exploradas por outros atores no curto e médio-prazo.

 

Ao contrário do WannaCry, não parece existir um killswitch que, se ativado, impeça posteriores infeções e/ou propagações do malware.

 

Entre os países mais afetados encontram-­se a Ucrânia, Rússia, Reino Unido, Irlanda, Espanha, França, Dinamarca e Índia, com especial relevância para o primeiro.

 

Entre os sectores mais afetados encontram-se os seguintes:

  • Petróleo;
  • Gasolineiras;
  • Banca;
  • Administração Pública;
  • Elétricas;
  • Transportes;
  • Transportes aéreos;
  • Aeroportos;
  • Ferrovias Urbanas;
  • Construção Civil;
  • Publicidade;
  • Empresas de Alojamento.

 

Embora a S21sec esteja a investigar o malware com recurso a meios próprios e ao seu laboratório forense, muitos dos pontos anteriores não foram corroborados por si própria, sendo reflexo de observações realizadas em vários fóruns e outras empresas, tipicamente fabricantes de soluções anti-­malware, do setor como é o caso da CheckPoint e da Kaspersky.        

 

Como é usual, e porque já não é a primeira vez que é usada uma vulnerabilidade dos produtos Microsoft, é aconselhável que os sistemas Windows estejam devidamente atualizados, assim como as soluções de segurança instaladas nos computadores.

Source

Related posts

Leave a Comment