As fabricantes de antivírus Kaspersky e ESET informaram nesta quinta-feira (26) que os hackers por trás do ransomware BadRabbit são posivelmente os mesmos responsáveis pelo ataque Not-Petya, que atingiu milhares de empresas em junho. Segundo os especialistas, a nova ameaça contém parte do código usado para burlar as defesas do Windows e infectar computadores no caso Not-Petya. Apesar da semelhança na sua construção, porém, a ofensiva BadRabbit envolve criptografia sofisticada e não explora a falha EternalBlue, do sistema operacional da Microsoft, para se alastrar.
Kaspersky e ESET identificaram que o BadRabbit — novo ransomware usado para bloquear arquivos de PCs Windows — reutiliza também alguns dos mesmos domínios usados pelo Not-Petya para se comunicar com os servidores dos criminosos. Os endereços existem desde junho, mas não haviam sido ativados. A relação leva a crer que o novo ataque estava sendo planejado há meses.
“Nossos especialistas acreditam que o mesmo ator da ameaça está atrás de ambos os ataques e que esse ator ameaçador estava preparando o ataque Bad Rabbit desde julho, ou mesmo antes”, diz o relatório atualizado da Kaspersky.
Not-Petya
O ataque Not-Petya, chamado também de Petya ou ExPetr, surgiu em junho de 2017 e atingiu redes corporativas de empresas ligadas aos setores de energia, telecomunicações e finanças na Ucrânia, Rússia e outros países, incluindo o Brasil.
Inicialmente, o malware foi considerado um ransomware, mas depois foi revelado ser um wiper. Em vez de codificar os arquivos e liberar depois do resgate, mediante pagamento em bitcoins, o vírus somente causava danos ao computador da vítima, sem possibilidade de recuperação de dados.
O Not-Petya usava a falha EternalBlue do SMBv1 do Windows e se espalhava na rede como um worm – por isso, ficou conhecido como um ransomworm.
Not-Petya x BadRabbit
Especialistas ainda não descobriram o método de infecção usado pelo BadRabbit. Por enquanto, sabe-se que o BadRabbit utiliza diretórios compartilhados do SMB do Windows em busca de espaço para se alastrar na rede. Há também indícios de que a ameaça tenha sido implantada muito antes nas redes infectadas hoje.
“É interessante notar que todas essas grandes empresas [infectadas pelo BadRabbit] foram atingidas ao mesmo tempo. É possível que o grupo [hacker] já tivesse o pé dentro das redes e tenha lançado o ataque ao mesmo tempo”, informa a ESET, fabricante do antivírus NOD32.
O novo ransom não explora a falha corrigida pela Microsoft EternalBlue, como ocorreu com o Not-Petya. Em vez disso, lança mão da ferramenta de quebra de senhas Mimikatz para obter uma lista de credenciais que serve para abrir mais portas nos computadores comprometidos em rede.
Os especialistas também começam a questionar se o BadRabbit é, de fato, um ransomware. O vírus usa um encriptador de arquivos melhorado em comparação com o Not-Petya, deixando menos brechas para recuperação forçada de arquivos cifrados. Em contrapartida, ainda não há indicações de que o ransomware seja um wiper disfarçado — ou seja, é provável que seja possível restaurar o HD de uma máquina infectada após o resgate, mesmo que não seja recomendado pagar.
Relembre o caso BadRabbit
O BadRabbit está em ascensão e mostrou registros no Brasil na quarta-feira (25). O ransomware infecta computadores por meio de um ataque drive-by, que oferece um download falso do Adobe Flash Player em uma página web comprometida.
Após a transferência do pacote, o ransom entra em ação e encripta os arquivos do HD. Em seguida, emite uma alerta pedindo resgate na forma de 0,05 bitcoins, equivalentes a US$ 280 na cotação atual. O aviso informa as instruções de pagamento e mostra um contador para pressionar a vítima a atender à exigência.
O ataque começou na Rússia e na Ucrânia e ganhou volume na terça (24), causando atrasos no aeroporto ucraniano de Odessa e afetando vários meios de comunicação na Rússia, incluindo as agências de notícias Interfax e Fontanka.ru. Depois, afetou o sistema de metrô em Kiev, na Ucrânia. Desde então, outras empresas de serviços e finanças estão em alerta no mundo, inclusive no Brasil.
Apesar do BadRabbit oferecer o download de uma atualização do Flash, o ataque não tem relação com o plugin da Adobe. A fabricante de software já anunciou o fim do produto para 2020, mas, até lá, ainda oferecerá o Flash para baixar.
A recomendação atual é não usar o plugin (tampouco fazer update via pop-ups), dando preferência para o HTML5, uma tecnologia mais moderna e segura. Se o plugin for requerido, primeiro verifique se o computador já tem a versão mais recente instalada. Em caso de atualização, não obtenha pacotes de instalação do Flash páginas sites de terceiros, dando preferência sempre pelo site oficial.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Como aplicar textura em imagens no Photoscape
- CS:GO: curiosidades sobre as skins de facas e armas no jogo de tiro
- Super Smash Bros. e Unravel são destaques nos trailers da semana
- Review Asus F570Z: notebook gamer intermediário tem chip AMD como diferencial
- GTA 5 ganha novo modo multiplayer Turf Wars em conquista de território
- Tudo sobre o Nokia 5.3: preço, ficha técnica e data de lançamento
- CS:GO: MIBR vence a ENCE e avança na DreamHack Open Anaheim 2020
- Conheça os melhores jogadores Bronze do Ultimate Team de Fifa 17
- Lumia 830: tudo que você precisa saber sobre a câmera do celular
- Donate no Streamlabs: como ativar e fazer doações pelo app
- Mundial de LoL 2019: Flamengo perde para DAMWON na 3ª rodada do Worlds
- Samsung pode lançar tablet 'gigante' com tela de 18 polegadas
- Novo vídeo de Battlefield 1 mostra os combates do modo single player
- Fone promete reduzir ru?dos e personalizar a forma de ouvir o ambiente
- Dia dos Pais: molduras e montagens de fotos para Instagram e Facebook
- Dizer n?mero do celular na web pode atrair 'sequestradores'; veja perigos
- Lançamento do Galaxy Note 10: preço começa em R$ 5.299
- Robô que promete fazer 'de tudo' dentro de casa é sucesso na web
- Como jogar PUBG Mobile no PC com o emulador Tencent Gaming Buddy
- Problemas no WhatsApp do iPhone? Veja como acessar o suporte técnico do app