Quais foram as razões por trás do mais recente surto ransomware Petya / NotPetya / GoldenEye? Considerando as circunstâncias catástrofe malwares desta semana, pesquisadores de segurança têm se esforçado para entender por que a campanha aconteceu no primeiro lugar. Quem estava por trás disso? O Petya / Ataque GoldenEye principalmente organizações comprometidas na Ucrânia, mas outros países também foram atingidos. Empresas em aproximadamente 60 países foram afetados. Uma análise mais aprofundada também indica que o ataque fingiu ser ransomware para esconder seu verdadeiro propósito.
Malware fingindo ser ransomware tem muitos nomes – Petya / NotPetya / GoldenEye / PetrWrap / Acshfetr
A primeira coisa a mencionar aqui é que os pesquisadores deram a esse ransomware condicionalmente chamado uma variedade de nomes. realmente esta bem confuso. Alguns pesquisadores que imediatamente viram as semelhanças com o ransomware Petya anteriormente conhecido simplesmente disseram que este era o Petya mais uma vez. Contudo, outros pesquisadores chamam de NotPetya, ou GoldenEye, uma variante de Petya.
Como já escrevi, Petya/GoldenEye foi relatado para atingir principalmente a Ucrânia, mas o malware se espalhou rapidamente por todo o mundo. O ransomware criptografa todos os arquivos em um disco rígido e o MBR da própria unidade, tornando praticamente impossível restaurar seus arquivos, mesmo que você pague o resgate.
Descriptografia impossível mesmo por autores de ransomware
Pesquisadores da Kaspersky descobriram que a criptografia deste ransomware é projetada para que, mesmo que seja feito um pagamento,, os autores do malware não podem descriptografar o disco rígido, mesmo se eles quisessem. Os mesmos pesquisadores encontraram outras semelhanças com uma variante do Petya conhecida como PetrWrap, que estava atacando organizações em março. Eles apelidaram o ransomware ExPetr, explicando isso:
As primeiras publicações na mídia de massa afirmaram que o novo malware estava conectado a programas maliciosos conhecidos WannaCry e Petya. Contudo, de acordo com a pesquisa da Kaspersky Lab, este é um novo malware com algumas pequenas semelhanças com o PetrWrap (Modificação do Petya), mas provavelmente não tendo nenhuma conexão com ele. Nós o chamamos de “ExPetr”, para enfatizar que isso não é PetrWrap.
Seja qual for o seu nome, todos concordamos em uma coisa – o ransomware mais uma vez conseguiu criar uma bagunça estressante em nível global. É por isso que os pesquisadores começaram a colar as várias informações e dados com o objetivo de delinear o que aconteceu, e mais importante - por que.
A motivação por trás do Petya / NotPetya / Ataques GoldenEye
Alguns pesquisadores dizem que tem sido extremamente difícil identificar a motivação e o motivo dessa campanha maliciosa. Não obstante, existem vários fatores que podem ajudar na investigação.
A primeira coisa a notar é que a Ucrânia foi um dos principais alvos do surto. Na Ucrânia, o ransomware multifacetado estava se espalhando pelo MeDoc, software de contabilidade que é popular no país. Os pesquisadores de segurança revelou que os invasores pareciam ter violado os sistemas de computador da empresa e foram capazes de direcionar uma atualização de software foi enviada aos clientes em junho 22. Este único evento pode ter levado ao surto.
Por outro lado, A Reuters tem apontou Os seguintes:
O principal alvo de um vírus de computador paralisante que se espalhou da Ucrânia por todo o mundo nesta semana é altamente provável que tenha sido a infraestrutura de computadores daquele país., um alto funcionário da polícia ucraniana disse à Reuters na quinta-feira.
Um número crescente de pesquisadores acredita que o principal objetivo do ataque era instalar um novo malware em máquinas governamentais e empresariais na Ucrânia. O objetivo de toda a campanha pode não ter sido extorquir os alvos, mas plantar as sementes para futuros ataques.
É claro que o ganho financeiro não era a intenção do ataque. Além disso, o malware é projetado para substituir o Master Boot Record (MBR) e criptografar arquivos individuais que correspondam a uma lista de extensões de arquivo. O valor do resgate, $300 em Bitcoin, também não é suficiente, e o que é pior, Pagar não vai recuperar os arquivos das vítimas. O que os pesquisadores dizem é que Petya / GoldenEye / NotPetya finge ser ransomware, mas na verdade é outra coisa. Acredita-se também que os agentes de ameaças por trás disso tornaram a descriptografia impossível deliberadamente.
Coletar pagamentos de resgate não é o objetivo principal dos ataques
É intrigante que os invasores tenham gasto muita engenharia para desenvolver e espalhar o ransomware, mas não fizeram quase nada para fazer as vítimas pagarem o resgate.. Se fosse realmente um ransomware, coletar pagamentos de resgate deveria ter sido o objetivo principal de toda a operação.
A análise da Kaspersky também recentemente revelou que mais do que 50% das empresas atacadas pelo ransomware multifacetado são empresas industriais.
Além disso, as primeiras organizações atacadas pertenciam a infraestruturas críticas como aeroportos, empresas de gás, transporte público, etc.
O fato de os usuários domésticos não terem sido atacados em tal escala às custas das organizações fala muito sobre a agenda dos agentes de ameaças.
A maioria dos pesquisadores acredita que o ataque foi realizado por um hacktivista buscando conscientizar as vulnerabilidades pelas quais estamos cercados, ou hackers de estado-nação procurando cobrir seus rastros. A maneira mais convincente e conveniente de fazer o mundo acreditar que é outro surto do WannaCry é fazer com que pareça um.