As fabricantes de antivírus Kaspersky e ESET informaram nesta quinta-feira (26) que os hackers por trás do ransomware BadRabbit são posivelmente os mesmos responsáveis pelo ataque Not-Petya, que atingiu milhares de empresas em junho. Segundo os especialistas, a nova ameaça contém parte do código usado para burlar as defesas do Windows e infectar computadores no caso Not-Petya. Apesar da semelhança na sua construção, porém, a ofensiva BadRabbit envolve criptografia sofisticada e não explora a falha EternalBlue, do sistema operacional da Microsoft, para se alastrar.
Kaspersky e ESET identificaram que o BadRabbit — novo ransomware usado para bloquear arquivos de PCs Windows — reutiliza também alguns dos mesmos domínios usados pelo Not-Petya para se comunicar com os servidores dos criminosos. Os endereços existem desde junho, mas não haviam sido ativados. A relação leva a crer que o novo ataque estava sendo planejado há meses.
“Nossos especialistas acreditam que o mesmo ator da ameaça está atrás de ambos os ataques e que esse ator ameaçador estava preparando o ataque Bad Rabbit desde julho, ou mesmo antes”, diz o relatório atualizado da Kaspersky.
Not-Petya
O ataque Not-Petya, chamado também de Petya ou ExPetr, surgiu em junho de 2017 e atingiu redes corporativas de empresas ligadas aos setores de energia, telecomunicações e finanças na Ucrânia, Rússia e outros países, incluindo o Brasil.
Inicialmente, o malware foi considerado um ransomware, mas depois foi revelado ser um wiper. Em vez de codificar os arquivos e liberar depois do resgate, mediante pagamento em bitcoins, o vírus somente causava danos ao computador da vítima, sem possibilidade de recuperação de dados.
O Not-Petya usava a falha EternalBlue do SMBv1 do Windows e se espalhava na rede como um worm – por isso, ficou conhecido como um ransomworm.
Not-Petya x BadRabbit
Especialistas ainda não descobriram o método de infecção usado pelo BadRabbit. Por enquanto, sabe-se que o BadRabbit utiliza diretórios compartilhados do SMB do Windows em busca de espaço para se alastrar na rede. Há também indícios de que a ameaça tenha sido implantada muito antes nas redes infectadas hoje.
“É interessante notar que todas essas grandes empresas [infectadas pelo BadRabbit] foram atingidas ao mesmo tempo. É possível que o grupo [hacker] já tivesse o pé dentro das redes e tenha lançado o ataque ao mesmo tempo”, informa a ESET, fabricante do antivírus NOD32.
O novo ransom não explora a falha corrigida pela Microsoft EternalBlue, como ocorreu com o Not-Petya. Em vez disso, lança mão da ferramenta de quebra de senhas Mimikatz para obter uma lista de credenciais que serve para abrir mais portas nos computadores comprometidos em rede.
Os especialistas também começam a questionar se o BadRabbit é, de fato, um ransomware. O vírus usa um encriptador de arquivos melhorado em comparação com o Not-Petya, deixando menos brechas para recuperação forçada de arquivos cifrados. Em contrapartida, ainda não há indicações de que o ransomware seja um wiper disfarçado — ou seja, é provável que seja possível restaurar o HD de uma máquina infectada após o resgate, mesmo que não seja recomendado pagar.
Relembre o caso BadRabbit
O BadRabbit está em ascensão e mostrou registros no Brasil na quarta-feira (25). O ransomware infecta computadores por meio de um ataque drive-by, que oferece um download falso do Adobe Flash Player em uma página web comprometida.
Após a transferência do pacote, o ransom entra em ação e encripta os arquivos do HD. Em seguida, emite uma alerta pedindo resgate na forma de 0,05 bitcoins, equivalentes a US$ 280 na cotação atual. O aviso informa as instruções de pagamento e mostra um contador para pressionar a vítima a atender à exigência.
O ataque começou na Rússia e na Ucrânia e ganhou volume na terça (24), causando atrasos no aeroporto ucraniano de Odessa e afetando vários meios de comunicação na Rússia, incluindo as agências de notícias Interfax e Fontanka.ru. Depois, afetou o sistema de metrô em Kiev, na Ucrânia. Desde então, outras empresas de serviços e finanças estão em alerta no mundo, inclusive no Brasil.
Apesar do BadRabbit oferecer o download de uma atualização do Flash, o ataque não tem relação com o plugin da Adobe. A fabricante de software já anunciou o fim do produto para 2020, mas, até lá, ainda oferecerá o Flash para baixar.
A recomendação atual é não usar o plugin (tampouco fazer update via pop-ups), dando preferência para o HTML5, uma tecnologia mais moderna e segura. Se o plugin for requerido, primeiro verifique se o computador já tem a versão mais recente instalada. Em caso de atualização, não obtenha pacotes de instalação do Flash páginas sites de terceiros, dando preferência sempre pelo site oficial.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Como adicionar ou remover anivers?rios no Google Agenda
- Xiaomi cria 'tablet Transformer' que desmonta e vira robô
- Figurinhas do FISL: Fórum de Software Livre reúne mascotes curiosos
- Como trocar o plano de fundo do Moto E4 Plus
- iPhone X chega às lojas em 8 de dezembro; saiba tudo sobre lançamento
- Word no celular: sete funções que pouca gente conhece
- TP-Link libera lista de roteador afetados por falha no Wi-Fi com WPA2
- CS:GO: Natus Vincere vence G2 e conquista a IEM Katowice 2020
- Como recuperar a senha do Gmail
- Apps de mobilidade 'tipo Uber' aumentam poluição em 70%, diz estudo
- Como ativar verificação de duas etapas no Rainbow Six: Siege
- Conheça os notebooks da Acer mais baratos disponíveis no Brasil
- Como tirar print de tela no Samsung Galaxy J2 Prime
- Como aplicar wallpapers personalizados no PlayStation 4
- França x Argentina ao vivo: como assistir ao jogo da Copa do Mundo online
- FIFA 21: veja melhores jogadores em fim de contrato
- League of Legends: como habilitar e mostrar ponto de maestria no LoL
- Golpe no WhatsApp usa processo seletivo da Cacau Show para enganar usuários
- Epson EcoTank L455: como baixar e instalar o driver da impressora
- Far Cry 5: conheça sete curiosidades do game