2017-06-30 08:04:00
O especialista em segurança Matthieu Suiche e a fabricante de antivírus Kaspersky Lab concluíram que o ataque que atingiu empresas na Europa – especialmente na Ucrânia – na terça-feira (27) não se trata de um vírus de resgate, mas sim de um "wiper". Um Wiper é um vírus destrutivo cujo único objetivo é causar danos ao computador atacado, inutilizando o sistema operacional, e não ganhar dinheiro cobrando "resgates".
Como o vírus chegou às empresas atacadas por meio de uma brecha no software de contabilidade e impostos ucraniano M.E. Doc, especula-se que o código malicioso tenha relação com outros ataques cibernéticos destrutivos contra a Ucrânia. O país já sofreu dois apagões elétricos, em dezembro de 2015 e dezembro de 2016, causados por pragas digitais. Autoridades ucranianas, que culpam a Rússia pelos dois incidentes, já sinalizaram crer que o novo ataque também teria ligação com o governo russo.
O responsável pelo ataque na terça-feira foi inicialmente identificado como uma variação do vírus de resgate "Petya", uma praga que existe desde o início de 2016. O novo ataque, que vem sendo chamado de "ExPetr", "NotPetya" e outros nomes, tem uma única grande semelhança com o vírus de resgate: ele reescreve o setor de inicialização (MBR) do disco rígido para impedir o Windows de iniciar. Fora isso, o vírus é completamente diferente.
Para poder recuperar o sistema caso a vítima pague o resgate, o Petya guarda uma versão criptografada dos dados de inicialização originais em outro lugar. O código do "ExPetr" também parece fazer isso, mas o faz somente para desviar a atenção do seu propósito real. O local que guarda os dados de recuperação é depois sobrescrito com outros dados, o que torna o sistema irrecuperável. Na prática, o vírus apagou os dados.
Ataques com vírus do tipo "wiper" foram realizados contra empresas na Coreia do Sul em 2013 e contra a Sony em 2014. Em ambos os casos, o vírus não ocultou as suas intenções. Se a o ExPetr é realmente um vírus "wiper" disfarçado como vírus de resgate, trata-se de um novo tipo de ataque que tenta se aproveitar de semelhanças com crimes cibernéticos para confundir especialistas e a imprensa.
![""]("http://s.glbimg.com/jo/g1/f/original/blog/bc32521e-7cfd-453c-8c5a-450e82437ac3_chave-expetr.jpg)
Chave que deveria permitir recuperação de dados é gerada com dados aleatórios, segundo a Kaspersky Lab. (Foto: Reprodução/Kaspersky Lab)
Sem recuperação
A Kaspersky Lab observou que a "chave" que o vírus fornece às vítimas, necessária para identificar uma instalação e fornecer uma chave capaz de recuperar o sistema, consiste apenas de dados aleatórios. Em outras palavras, não serve para nada.
A coluna Segurança Digital do G1 já havia apontado que o ExPetr não solicita que as vítimas entrem na rede anônima Tor para o contato com os invasores, o que diverge do Petya e da maioria dos vírus de resgate. Essa decisão colocou a capacidade de faturamento do vírus em risco.
Pouco após o vírus começar a atuar, a conta de e-mail dos atacantes foi cancelada pelo Posteo, o provedor onde ela foi registrada, não sendo mais possível entrar em contato para pedir as instruções que supostamente seriam capazes de recuperar um sistema atacado. Isso eliminou qualquer incentivo das vítimas para pagar o resgate.
A hipótese de que o ExPetr não é um vírus de resgate explicaria por que os invasores decidiram não usar o Tor como meio de contato: como a intenção do vírus era destruir e não ganhar dinheiro, os responsáveis não estavam preocupados com o pagamento de resgates e nem em ajudar as vítimas a terem seus dados de volta.
Atualizações e falhas de segurança
A disseminação do vírus WannaCry, em maio, dependeu exclusivamente de sistemas que não receberam uma atualização da Microsoft disponível desde março.
Embora o ExPetr se aproveite da mesma falha usada pelo WannaCry, ele também tenta fazer uso das credenciais de acesso (usuário e senha) do usuário logado do Windows para invadir outros computadores da rede. Embora esteja seja uma característica irrelevante para usuários domésticos, isso significa que o vírus é capaz de infectar praticamente uma rede inteira se conseguir acesso a uma credencial de "controlador de domínio". Em rede Windows, essa credencial serve para administrar remotamente os computadores.
Segundo uma análise da Microsoft, o ExPetr tem rotinas específicas para atuar em máquinas controladoras de domínio. Isso indica que os invasores projetaram o vírus exatamente para atuar dessa forma.
Esse comportamento dá ao ExPetr uma capacidade de disseminação que independe de qualquer falha de segurança específica. Qualquer rede corporativa pode ser inteiramente infectada por esse vírus, caso ele já esteja dentro da rede e obtenha as credenciais necessárias.
A Microsoft também confirmou que os primeiros sistemas foram infectados através do mecanismo de atualização automática do programa M.E. Doc, uma hipótese levantada por especialistas da Kaspersky Lab e da Cisco. Em outras palavras, o vírus não só é capaz de atacar máquinas atualizadas, mas também chegou aos computadores por meio de um sistema de atualização automática. Nesse caso, quem desativou a atualização automática do M.E. Doc é que não foi atacado.
Ainda não se sabe exatamente como os responsáveis se aproveitaram do M.E. Doc para fazer o ataque.
