Ataque Petya - Porque as lições não foram aprendidas?

Seis semanas após o ataque do WannaCry o mundo voltou a estar suspenso numa nova ameaça de propagação hiper-rápida baseada em malware que não é absolutamente novo. Porque é que as defesas voltaram a falhar?

Ataque Petya - Porque as lições não foram aprendidas?

Começa a ser padrão, um mega-ataque por mês. Ainda muitas organizações estavam a recompor-se do WannaCry quando um derivado do Petya combinado com elementos do GoldenEye ( razão porque o resultado também é dominado por NotPetya ou Nyetya) voltou a fazer soar os alarmes.

Desta vez existiu claramente um país visado, a Ucrânia, sendo que o resto da propagação foram “danos colaterais” essencialmente por via das multinacionais que operam nesse país do leste europeu e por empresas com relações comerciais com a Ucrânia.

O ataque terá tido como primeiro alvo o Governo de Kiev, bancos e empresas estratégicas. Face ao facto de novamente ser um ataque que teve pouco retorno financeiro para os cibercriminosos (10.000 $USD de acordo com a Check Point), existe a suspeita não confirmada que a motivação terá sido de ordem estratégica ou política e não simplesmente criminal. Esta possibilidade não está confirmada.

A lista de empresas ucranianas afetadas inclui a distribuidora nacional de eletricidade, que foi no passado alvo de um ataque que provocou o maior blackout de que há registo na europa.
Existe uma possibilidade de o início do ciberataque ter tido lugar através de uma atualização de software para o programa de contabilidade denominado MeDoc, utilizado por um grande número de organizações ucranianas, ou que têm relação comercial com a Ucrânia, e a partir dessa infeção se tenha propagado por e-mail e lateralmente em redes empresariais e governamentais. A software house nega, porém, estar na origem da propagação.
 

O que falhou agora ?

Era consensual entre os profissionais da cibersegurança que eventos de malware de propagação rápida do tipo WannaCry voltariam a acontecer, o que se veio a verificar esta semana. Porém, seria de esperar mais alguma resiliência após o mais mediático dos ataques que infetou 300 mil máquinas em todo o mundo.

A verdade é que seis semanas é pouco tempo para muitas organizações, e o assunto da atualização de patch não é tão linear assim. Frequentemente não é possível efetuar essas atualizações de segurança antes de verificar a compatibilidade com aplicações legacy das empresas.
Existem também razões financeiras e razões logísticas para que as atualizações não sejam executadas rapidamente. Muitos sistemas agora afetados estão em regime 24/7, como é o caso do aeroporto de Kiev ou a companhia russa de petróleo Rosneft,  entre outras grandes empresas.

O que torna o Petya modificado tão eficaz são as suas capacidades de worm que o permite propagar lateralmente dentro das redes mesmo quando apenas uma maquina não atualizada foi infetada, o que começa a levantar dúvidas sobre se não será necessário um outro novo patch da Microsoft para resolver esta ameaça. Os próprios investigadores de Redmond afirmam que este ransomware tem técnicas de multi-propagação lateral e usa funções de file-shares legítimas para distribuir o payload com capacidade de roubar as credenciais corretas. Essa suspeita já tinha sido identificada pela Check Point ao afirmar a possibilidade do malware usar também o Loki Bot.
 

Qual a motivação do ataque ?

Com o WannaCry, e passado o “pânico”, muitos especialistas se perguntaram qual a motivação para desenvolver algo tão sofisticado quando o payback fora tão baixo face ao potencial criminal. Por que motivo teria o WannaCry  um killswitch que seria mais tarde ou mais cedo descoberto, anulando assim o potêncial do resultado criminal?

O ransomware é um atividade criminal cada vez mais lucrativa mas o modus operandi não é este.
Com o Petya a mesma pergunta volta a surgir. Qual o criminoso que utiliza uma conta de e-mail num respeitável ISP em Berlim ? Obviamente que em duas horas a conta estava suspensa impossibilitando a informação de pagamento em Bitcoins.

Nas últimas semanas vários responsáveis confidenciaram à IT Insight que o WannaCry dificilmente teria uma motivação criminal comum. Agora é o mais alto responsável técnico da McAfee/Intel,  Steve Grobman que comenta desta forma o ataque Petya:

- “We believe that today's events are part of the natural evolution of ransomware technology, but also a test-run for a much bigger and bolder attack in the future" .

Para ler a cobertura do ataque  Petya clique aqui.

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 10 Novembro 2017

IT INSIGHT Nº 10 Novembro 2017

NEWSLETTER

Receba todas as novidades na sua caixa de correio!