As fabricantes de antivírus Kaspersky e ESET informaram nesta quinta-feira (26) que os hackers por trás do ransomware BadRabbit são posivelmente os mesmos responsáveis pelo ataque Not-Petya, que atingiu milhares de empresas em junho. Segundo os especialistas, a nova ameaça contém parte do código usado para burlar as defesas do Windows e infectar computadores no caso Not-Petya. Apesar da semelhança na sua construção, porém, a ofensiva BadRabbit envolve criptografia sofisticada e não explora a falha EternalBlue, do sistema operacional da Microsoft, para se alastrar.
Kaspersky e ESET identificaram que o BadRabbit — novo ransomware usado para bloquear arquivos de PCs Windows — reutiliza também alguns dos mesmos domínios usados pelo Not-Petya para se comunicar com os servidores dos criminosos. Os endereços existem desde junho, mas não haviam sido ativados. A relação leva a crer que o novo ataque estava sendo planejado há meses.
“Nossos especialistas acreditam que o mesmo ator da ameaça está atrás de ambos os ataques e que esse ator ameaçador estava preparando o ataque Bad Rabbit desde julho, ou mesmo antes”, diz o relatório atualizado da Kaspersky.
Not-Petya
O ataque Not-Petya, chamado também de Petya ou ExPetr, surgiu em junho de 2017 e atingiu redes corporativas de empresas ligadas aos setores de energia, telecomunicações e finanças na Ucrânia, Rússia e outros países, incluindo o Brasil.
Inicialmente, o malware foi considerado um ransomware, mas depois foi revelado ser um wiper. Em vez de codificar os arquivos e liberar depois do resgate, mediante pagamento em bitcoins, o vírus somente causava danos ao computador da vítima, sem possibilidade de recuperação de dados.
O Not-Petya usava a falha EternalBlue do SMBv1 do Windows e se espalhava na rede como um worm – por isso, ficou conhecido como um ransomworm.
Not-Petya x BadRabbit
Especialistas ainda não descobriram o método de infecção usado pelo BadRabbit. Por enquanto, sabe-se que o BadRabbit utiliza diretórios compartilhados do SMB do Windows em busca de espaço para se alastrar na rede. Há também indícios de que a ameaça tenha sido implantada muito antes nas redes infectadas hoje.
“É interessante notar que todas essas grandes empresas [infectadas pelo BadRabbit] foram atingidas ao mesmo tempo. É possível que o grupo [hacker] já tivesse o pé dentro das redes e tenha lançado o ataque ao mesmo tempo”, informa a ESET, fabricante do antivírus NOD32.
O novo ransom não explora a falha corrigida pela Microsoft EternalBlue, como ocorreu com o Not-Petya. Em vez disso, lança mão da ferramenta de quebra de senhas Mimikatz para obter uma lista de credenciais que serve para abrir mais portas nos computadores comprometidos em rede.
Os especialistas também começam a questionar se o BadRabbit é, de fato, um ransomware. O vírus usa um encriptador de arquivos melhorado em comparação com o Not-Petya, deixando menos brechas para recuperação forçada de arquivos cifrados. Em contrapartida, ainda não há indicações de que o ransomware seja um wiper disfarçado — ou seja, é provável que seja possível restaurar o HD de uma máquina infectada após o resgate, mesmo que não seja recomendado pagar.
Relembre o caso BadRabbit
O BadRabbit está em ascensão e mostrou registros no Brasil na quarta-feira (25). O ransomware infecta computadores por meio de um ataque drive-by, que oferece um download falso do Adobe Flash Player em uma página web comprometida.
Após a transferência do pacote, o ransom entra em ação e encripta os arquivos do HD. Em seguida, emite uma alerta pedindo resgate na forma de 0,05 bitcoins, equivalentes a US$ 280 na cotação atual. O aviso informa as instruções de pagamento e mostra um contador para pressionar a vítima a atender à exigência.
O ataque começou na Rússia e na Ucrânia e ganhou volume na terça (24), causando atrasos no aeroporto ucraniano de Odessa e afetando vários meios de comunicação na Rússia, incluindo as agências de notícias Interfax e Fontanka.ru. Depois, afetou o sistema de metrô em Kiev, na Ucrânia. Desde então, outras empresas de serviços e finanças estão em alerta no mundo, inclusive no Brasil.
Apesar do BadRabbit oferecer o download de uma atualização do Flash, o ataque não tem relação com o plugin da Adobe. A fabricante de software já anunciou o fim do produto para 2020, mas, até lá, ainda oferecerá o Flash para baixar.
A recomendação atual é não usar o plugin (tampouco fazer update via pop-ups), dando preferência para o HTML5, uma tecnologia mais moderna e segura. Se o plugin for requerido, primeiro verifique se o computador já tem a versão mais recente instalada. Em caso de atualização, não obtenha pacotes de instalação do Flash páginas sites de terceiros, dando preferência sempre pelo site oficial.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Jogos mais baratos no Nintendo Switch se destacam nas ofertas da semana
- Far Cry Primal: veja a lista com os melhores easter eggs do jogo
- Confira como baixar e instalar jogos de PlayStation 2 no PS4
- LibreOffice ou Polaris Office? Veja qual a melhor opção grátis no PC
- Equipe brasileira vence a primeira Copa América de Heroes of the Storm
- Dez modelos de notebook com processadores Intel da oitava geração
- Google vai parar de ler seus e-mails para mostrar propagandas no Gmail
- Tabela da Fortnite World Cup 2019: veja players classificados para final
- Como fazer login no Facebook usando a foto de perfil pelo seu celular
- Entenda como Windows 10 vai rodar aplicativos para Android e iPhone
- Nikon Coolpix P900 usada vale a pena? Veja prós e contras da câmera
- Dragon Age Inquisition: aprenda a colocar uma runa em uma arma
- HP Photosmart C4680: como fazer download e instalar driver da impressora
- The Raven e Saints Row são os jogos grátis do Xbox em dezembro
- NBA Live 15: como criar seu próprio jogador no game de basquete
- Apps para Windows Phone: Xender, LastPass e outros 'tops' da semana
- Instagram Reels: como fazer narração com o Voice-over
- TVs de tela grande são as preferidas do brasileiro em 2021, diz estudo
- iPhone 6 torto, recall do iPhone 5 e outras polêmicas dos celulares da Apple
- Fita métrica inteligente não machuca a mão e grava informações no celular