Isto é Petya, não é Petya, é GoldenEye, ExPetr, ou PetrWrap?

São Paulo--(DINO - 04 jul, 2017) - O Forcepoint Security Labs continuará chamando isso de ataque de Petya, apesar de outras empresas terem decidido chamá-lo de outros nomes.Em termos simples, as amostras analisadas passaram no "teste do pato" (https://en.wikipedia.org/wiki/Duck_test) como sendo Petya, que já mostrou fazer o seguinte: ? criptografa os arquivos no disco sem modificar a extensão do arquivo;? força a reinicialização da máquina depois de infectá-la;? criptografa o registro de reinicialização central (MBR ou master boot record) nas máquinas afetadas;? mostra uma tela falsa "CHKDSK" e inicia o processo de encriptação; e? mostra uma tela de pedido de resgate quase idêntica depois de concluir suas atividades.Os mecanismos de entrada e movimento lateral nesse caso são extremamente incomuns, mas parece plausível que o código subjacente de ransomware seja uma variante do Petya associado a um novo método de disseminação.Você deve pagar o pedido de resgate do Petya?Não recomendamos de forma alguma que você pague o resgate. Não existe mais um mecanismo para dar à vítima a chave de desencriptação para pagar o resgate, já que o endereço de e-mail para se comunicar com o invasor foi desativado. O mecanismo de pagamento é muito fraco e está associado apenas a um único endereço de e-mail, que não pode mais ser acessado. Mesmo se a vítima fosse pagar o resgate para a carteira apropriada de BitCoin, o invasor agora não teria como fornecer a chave de desencriptação.Obter arquivos não criptografados é agora muito mais complicado, mas ferramentas de desencriptação poderão em breve ser oferecidas por terceiros.Uma companhia pode às vezes decidir pagar o pedido de resgate, mas no caso do Petya isso não vale mais a pena.Declaração de proteção e vetor de infecçãoA Microsoft declarou que se acredita atualmente que o vetor de infecção inicial se propagou através de código malicioso disfarçado de uma atualização legítima de software. Como existe uma confiança natural nas atualizações automáticas de software, há menos probabilidade de esse vetor ser detectado no perímetro de proteção.Essa é uma grande mudança em relação à maneira como a maioria dos ransomwares se propaga: esta iteração atual do Petya evita o uso de vetores de comunicação protegidos por gateways de segurança da web ou gateways de segurança de e-mail.As amostras analisadas tentam se mover lateralmente dentro das redes utilizando credenciais roubadas das máquinas das vítimas junto com uma combinação de comandos PSEXEC e WMIC e utilizando vulnerabilidades do SMBv1. Ainda não houve casos em que essas amostras tentaram se autopropagar para outras empresas, limitando-se esse comportamento até agora a redes locais.Porém, o movimento entre redes confiáveis utilizando credenciais administrativas válidas tanto nas redes de origem quanto nas de destino parece ser possível. Ainda não está claro se as empresas nas quais existe uma relação de confiança entre suas redes e aquelas de uma empresa externa (i.e., provedor de serviços gerenciados) estão mais expostas a risco ou não.Em termos gerais, a natureza do Petya não é uma grande surpresa para os pesquisadores do Forcepoint Security Labs: em outubro de 2016, o Forcepoint Security Labs alertou no nosso Relatório Freeman sobre os perigos de atualizações de software não autorizadas que estavam sendo feitas por mecanismos automatizados de atualização. Apresentando paralelos significativos com o vetor de infecção inicial utilizado para propagar o ransomware Petya, nosso relatório Freeman documentou os perigos de uma atualização de software não autorizada para uma ferramenta de análise de código legítima.Recomendamos investigar os prestadores de serviços que fornecem atualizações de software no seu ambiente e tentar entender quais os softwares abandonados ("abandonware") que ainda podem estar rodando e aceitando atualizações.Como confirmado no dia 27 de junho de 2017, logo após o ataque, o NGFW da Forcepoint é capaz de detectar e bloquear o uso de vulnerabilidades do SMB de que esse ataque se valeu para os clientes que usam o NGFW da Forcepoint nas suas redes.Se uma campanha secundária for lançada por um website afetado ou e-mail malicioso, o Forcepoint Web Security e Email Security é capaz de detectar essa nova ameaça e fornecer proteção contra ela.