O Petya é uma cepa de ransomware que surgiu pela primeira vez em 2016. O NotPetya é uma cepa de malware que tinha muitas semelhanças com o Petya, mas que se comportava de maneira diferente.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O Petya é uma cepa de ransomware que foi identificada pela primeira vez em 2016. Como outros tipos de ransomware, o Petya criptografa arquivos e dados no computador da vítima. Os operadores do Petya exigem pagamento com Bitcoins antes de descriptografar os arquivos e torná-los utilizáveis novamente.
Ao contrário de algumas cepas de ransomware mais antigas, que só codificam certos arquivos importantes para extorquir a vítima, o Petya trava todo o disco rígido de um computador. Especificamente, ele criptografa a Tabela de Arquivos Mestre (MFT) de um computador, tornando impossível o acesso a qualquer arquivo no disco rígido.
O Petya foi observado apenas visando computadores com sistemas operacionais Windows.
Semelhante a muitos outros ataques de ransomware, o Petya se espalha principalmente por meio de anexos de e-mail. Os invasores enviam e-mails para os departamentos de RH com candidaturas de emprego falsas anexadas. Os PDFs anexados contêm um link infectado do Dropbox ou são arquivos executáveis disfarçados — dependendo do método de ataque usado.
Em junho de 2017, um novo tipo de ransomware que se assemelhava ao Petya em muitos aspectos infectou organizações em todo o mundo. Por causa de suas semelhanças com o Petya, com algumas diferenças essenciais, o fornecedor de segurança Kaspersky o apelidou de "NotPetya". O NotPetya havia impactado pelo menos 2.000 organizações até 28 de junho de 2017. A grande maioria das organizações vitimadas estava na Ucrânia.
Assim como o Petya, o ransomware NotPetya afetou todo o disco rígido da vítima. No entanto, o NotPetya criptografou todo o disco rígido em vez da MFT. Ele se espalhou de repente e rapidamente, e infectou redes inteiras velozmente usando várias explorações de vulnerabilidades e métodos de roubo de credenciais.
Notavelmente, o NotPetya foi observado usando a mesma vulnerabilidade EternalBlue (CVE-2017-0144) que o ataque mundial WannaCry havia usado no início de 2017. Isso permitiu que ele se espalhasse rapidamente pelas redes sem nenhuma intervenção dos usuários — ao contrário do Petya, que precisava que os usuários abrissem um anexo de e-mail malicioso para que a infecção começasse. A Microsoft lançou um patch para a vulnerabilidade EternalBlue em março de 2017, mas muitas organizações não instalaram o patch.
Eles são a mesma coisa. Vários membros da indústria de segurança tinham nomes diferentes para essa cepa de malware. Os nomes para NotPetya incluíam Petya 2.0, ExPetr e GoldenEye.
Ao contrário da maioria dos ransomwares, que danificam ou restringem temporariamente o acesso a arquivos em troca de um resgate, o NotPetya parecia ser puramente destrutivo. Não havia como reverter o dano causado; essencialmente, ele eliminou os arquivos completamente sem esperança de recuperação.
Embora ainda exibisse uma mensagem de resgate, essa tática pode ter sido usada apenas para disfarçar as intenções dos invasores. E mesmo que as vítimas do NotPetya quisessem pagar o resgate, a mensagem exibia um endereço Bitcoin falso e gerado aleatoriamente. Não havia como os invasores coletarem o resgate, sugerindo ainda que o objetivo do NotPetya era a destruição, não o ganho financeiro.
O ransomware real não foi projetado para eliminar completamente os arquivos e dados no início. Embora alguns invasores de ransomware possam fazer isso mais tarde se o resgate não for pago, limpar arquivos e dados imediatamente não motiva as vítimas a pagar, porque não há esperança de recuperar seus arquivos. A motivação para a maioria dos invasores de ransomware é dinheiro, não danos duradouros aos sistemas da vítima.
E enquanto os invasores por trás dos ataques do Petya de 2016 pareciam ser criminosos cibernéticos típicos de ransomware, em 2018 várias nações anunciaram que o governo russo estava diretamente por trás dos ataques do NotPetya. Isso sugere que os ataques NotPetya podem ter tido motivações políticas.
Essas três etapas podem ajudar a tornar um ataque Petya ou NotPetya muito menos provável:
Para saber mais, consulte Como evitar o ransomware.
As organizações também podem adotar o Cloudflare One. O Cloudflare One é uma plataforma que ajuda os usuários a se conectarem com segurança aos recursos de que precisam. Usando uma abordagem de segurança Zero Trust, o Cloudflare One ajuda a evitar e conter infecções de ransomware.