O que é o Petya e o NotPetya?

O Petya é uma cepa de ransomware que surgiu pela primeira vez em 2016. O NotPetya é uma cepa de malware que tinha muitas semelhanças com o Petya, mas que se comportava de maneira diferente.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir o Petya ransomware
  • Descrever as diferenças entre Petya e NotPetya
  • Saiba como evitar as infecções de Petya e NotPetya

Copiar o link do artigo

O que é o ransomware Petya?

O Petya é uma cepa de ransomware que foi identificada pela primeira vez em 2016. Como outros tipos de ransomware, o Petya criptografa arquivos e dados no computador da vítima. Os operadores do Petya exigem pagamento com Bitcoins antes de descriptografar os arquivos e torná-los utilizáveis novamente.

Ao contrário de algumas cepas de ransomware mais antigas, que só codificam certos arquivos importantes para extorquir a vítima, o Petya trava todo o disco rígido de um computador. Especificamente, ele criptografa a Tabela de Arquivos Mestre (MFT) de um computador, tornando impossível o acesso a qualquer arquivo no disco rígido.

O Petya foi observado apenas visando computadores com sistemas operacionais Windows.

Como o ransomware Petya se espalha?

Semelhante a muitos outros ataques de ransomware, o Petya se espalha principalmente por meio de anexos de e-mail. Os invasores enviam e-mails para os departamentos de RH com candidaturas de emprego falsas anexadas. Os PDFs anexados contêm um link infectado do Dropbox ou são arquivos executáveis disfarçados — dependendo do método de ataque usado.

O que é NotPetya?

Em junho de 2017, um novo tipo de ransomware que se assemelhava ao Petya em muitos aspectos infectou organizações em todo o mundo. Por causa de suas semelhanças com o Petya, com algumas diferenças essenciais, o fornecedor de segurança Kaspersky o apelidou de "NotPetya". O NotPetya havia impactado pelo menos 2.000 organizações até 28 de junho de 2017. A grande maioria das organizações vitimadas estava na Ucrânia.

Assim como o Petya, o ransomware NotPetya afetou todo o disco rígido da vítima. No entanto, o NotPetya criptografou todo o disco rígido em vez da MFT. Ele se espalhou de repente e rapidamente, e infectou redes inteiras velozmente usando várias explorações de vulnerabilidades e métodos de roubo de credenciais.

Notavelmente, o NotPetya foi observado usando a mesma vulnerabilidade EternalBlue (CVE-2017-0144) que o ataque mundial WannaCry havia usado no início de 2017. Isso permitiu que ele se espalhasse rapidamente pelas redes sem nenhuma intervenção dos usuários — ao contrário do Petya, que precisava que os usuários abrissem um anexo de e-mail malicioso para que a infecção começasse. A Microsoft lançou um patch para a vulnerabilidade EternalBlue em março de 2017, mas muitas organizações não instalaram o patch.

O NotPetya é diferente do Petya 2.0?

Eles são a mesma coisa. Vários membros da indústria de segurança tinham nomes diferentes para essa cepa de malware. Os nomes para NotPetya incluíam Petya 2.0, ExPetr e GoldenEye.

O NotPetya não foi realmente um ransomware?

Ao contrário da maioria dos ransomwares, que danificam ou restringem temporariamente o acesso a arquivos em troca de um resgate, o NotPetya parecia ser puramente destrutivo. Não havia como reverter o dano causado; essencialmente, ele eliminou os arquivos completamente sem esperança de recuperação.

Embora ainda exibisse uma mensagem de resgate, essa tática pode ter sido usada apenas para disfarçar as intenções dos invasores. E mesmo que as vítimas do NotPetya quisessem pagar o resgate, a mensagem exibia um endereço Bitcoin falso e gerado aleatoriamente. Não havia como os invasores coletarem o resgate, sugerindo ainda que o objetivo do NotPetya era a destruição, não o ganho financeiro.

O ransomware real não foi projetado para eliminar completamente os arquivos e dados no início. Embora alguns invasores de ransomware possam fazer isso mais tarde se o resgate não for pago, limpar arquivos e dados imediatamente não motiva as vítimas a pagar, porque não há esperança de recuperar seus arquivos. A motivação para a maioria dos invasores de ransomware é dinheiro, não danos duradouros aos sistemas da vítima.

E enquanto os invasores por trás dos ataques do Petya de 2016 pareciam ser criminosos cibernéticos típicos de ransomware, em 2018 várias nações anunciaram que o governo russo estava diretamente por trás dos ataques do NotPetya. Isso sugere que os ataques NotPetya podem ter tido motivações políticas.

Como evitar infecções por Petya e NotPetya

Essas três etapas podem ajudar a tornar um ataque Petya ou NotPetya muito menos provável:

  • Reforçar as práticas de segurança de e-mails: a maioria dos ataques Petya e alguns ataques NotPetya começaram com um anexo de e-mail infectado. Para evitar isso, as organizações podem verificar e-mails em busca de malware, bloquear anexos de e-mail de fontes externas e treinar usuários para evitar abrir anexos não confiáveis.
  • Corrigir vulnerabilidades regularmente: o exploit EternalBlue usado pelo NotPetya tinha um patch disponível meses antes dos ataques ocorrerem. Os ataques de ransomware geralmente exploram vulnerabilidades de software para entrar em uma rede ou movem-se lateralmente dentro dela. A atualização de software e a correção de vulnerabilidades podem ajudar a eliminar esses vetores de ataque.
  • Backup de arquivos e dados: manter cópias de backup de arquivos importantes não evita infecções por ransomware, mas ajuda uma organização a se recuperar mais rapidamente de um. No caso de um ataque que elimina arquivos como o NotPetya, essa pode ser a única maneira de recuperar os arquivos.

Para saber mais, consulte Como evitar o ransomware.

As organizações também podem adotar o Cloudflare One. O Cloudflare One é uma plataforma que ajuda os usuários a se conectarem com segurança aos recursos de que precisam. Usando uma abordagem de segurança Zero Trust, o Cloudflare One ajuda a evitar e conter infecções de ransomware.