Uma vez mais a Europa tremeu devido a um ataque informático que, desta vez, teve início na Ucrânia e foi a partir daí­ que se espalhou um pouco por todo o lado, conseguindo realizar mais de dois mil ataques.

Sérgio Sá, diretor executivo da EY Cybersecurity, explicou ao TEK que vários analistas acreditam que se trata de um novo malware que combina um ransomware antigo conhecido por Petya com o exploit EhernalBlue que explora a vulnerabilidade da Microsoft SMB já usada no WannaCry.

Como ainda não existe um consenso sobre o nome, é normal que cada empresa lhe atribua um. Até ao momento podemos encontrar referências ao Petya, NotPetya, Petwarp, exPetr, Nyetya, GoldenEye. Os nomes são muitos, mas pouco importa atribuir um nome concreto uma vez que o vírus ainda não está¡ completamente controlado.

A Bloomberg indica que o ciberataque entrou no continente asiático, esta quarta-feira, tendo afetado um porto perto de Mumbai, na Índia, que ficou incapacitado de operar. Existem ainda relatos de que o NotPetya já chegou, também, à  China e à  Austrália, mas em pequena escala.

A Kaspersky Lab garantiu ao TEK que, ao contrário do que muitos apontam como sendo verdade, esta não é uma nova versão do WannaCry.  Para a empresa de segurança este ataque é mais "assustador e mais sofisticado do que o WannaCry".

Mas vamos por partes. Começando pelo início: segundo a ESET, o ataque terá¡ começado numa empresa de software de contabilidade ucraniana chamada M.E.Doc. Este terá sido o ponto de partida do vírus que parece ter sido escolhido a dedo, uma vez que o software da empresa em questão é muito popular e é utilizado em diferentes setores económicos na Ucrânia.

Ciberataque na Ucrânia está a atingir outros países da Europa
Ciberataque na Ucrânia está a atingir outros países da Europa
Ver artigo

Foi através deste ponto inicial que os utilizadores foram enganados com uma atualização infetada do software que permitiu aos atacantes iniciarem assim a propagação do vírus. A partir deste ponto a infeção simplesmente foi sendo espalhada como acontece com qualquer outro vírus.

Segundo a Talos, Divisão de Inteligência de Cibersegurança da Cisco, o ransomware utilizado é chamado Nyetya porque tem algumas diferenças dos restantes nomes que têm sido avançados. Ao que tudo indica este “novo” vírus utiliza três mecanismos de infeção, sendo que um deles é a vulnerabilidade do Windows do protocolo SMB utilizada também pelo WannaCry para realizar ataques em mais de 150 empresas em todo o mundo.

Na altura em que o WannaCry se começou a espalhar, a Microsoft já havia lançado uma atualização que, supostamente, resolvia o problema. O grande mal foi que poucas empresas tinham o sistema atualizado e, mesmo agora, ainda existe um grande número de empresas com a vulnerabilidade por resolver. Nigel Tozer, diretor de marketing das soluções Commvault acredita que “A única defesa fiável contra ataques de ransomware como o Petya é o backup”.

“Claramente, os criminosos por detrás deste e de outros ataques recentes continuam um passo à frente do software de deteção de ameaças, pelo que, se os seus sistemas e dados foram sequestrados, a única forma real de os recuperar é poder reverter os dados para a sua última cópia de segurança antes da infeção”, esclarece Tozer em comunicado.

O NotPetya chegou a causar problemas em empresas na Rússia, Dinamarca, Reino Unido e Holanda e, ainda no país vizinho, em Espanha, a empresa de alimentação Mondelez, a empresa de advogados DLA Pipes e a farmacêutica Merck também apresentaram falhas informáticas.

Portugal parece ter escapado ataque desta semana mas alguns funcionários de agências do grupo WPP, afetado a nível internacional pelo vírus, terão recebido  indicações para desligarem o computadores e os dados móveis. Essas instruções  foram também passadas a funcionários da Ogilvy Portugal, mas parece ter sido apenas uma medida de prevenção.

Portugal parece estar a passar ao lado do "novo WannaCry"
Portugal parece estar a passar ao lado do "novo WannaCry"
Ver artigo

O método de atuação deste vírus é semelhante aos restantes ransomware que existem. Ao infetar um sistema, os ficheiros são encriptados e é pedido um resgate, em bitcoins, para que o acesso ao equipamento seja devolvido ao utilizador. Ao que tudo indica, foram ainda transferidos cerca de quatro mil dólares aos atacantes durante o ataque.

Apesar dos pagamentos, a ESET determinou que o Wallet ID e a respetiva Personal Instalation Key ligados ao ataque já foram desabilitadas na origem pelo provedor. Isto significa que os utilizadores afetados pelo problema não devem efetuar qualquer tipo de pagamento uma vez que não vão conseguir receber a chave de desencriptação.

A recomendação deixada por vários especialista em segurança informática é de que as empresas e os utilizadores individuais devem ter cuidados redobrados quanto a este tipo de ataques e devem fazer um esforço para manter os seus equipamentos atualizados, para evitar que sejam atacadas e que os vírus se espalhem em grande escala.

"A capacidade de prevenção e proteção são importantes mas podem não ser suficientes para este tipo de ataques. Nessas situações a capacidade de reação tem também um papel importante - a capacidade de retornar rapidamente à  operação normal", conclui o diretor da EY Cybersecurity.