Conheça os novos ransomwares Petya e Erebus, e saiba como eles se aproveitam das vulnerabilidades do Windows e Linux

Conheça os novos ransomwares Petya e Erebus, e saiba como eles se aproveitam das vulnerabilidades do Windows e Linux

Os hackers não estão de brincadeira!

Você já deve saber que estamos passando por uma nova onda de ataques Ransomware, dessa vez, conhecido pelo nome de Petya (2017). E este não foi o único ataque recente registrado pela Trend Micro, que aponta um novo ransomware para Linux chamado Erebus.

Não se sabe como o Erebus atacou os servidores de grandes empresas, mas a Trend Micro especula que o ransomware se aproveitou de algum exploit no kernel, no Apache ou no PHP, que estão desatualizados na Nayana: a versão do PHP é a 5.1.4, lançada em 2006. Uma falha no kernel do Linux, conhecida como Dirty Cow, permitia que um usuário comum obtivesse permissões de root e ficou sem correção entre 2007 e 2016.

Já foram relatados problemas em aeroportos e bancos da Europa e aqui no Brasil algumas instituições também já foram afetadas. Considerando que a forma de propagação deste tipo de ataque é muito rápida, precisamos nos prevenir mantendo os nossos antivírus atualizados com a última versão.

Detalhes sobre o ataque do Ransomware Erebus: 

O ransomware Erebus criptografa os dados do servidor e cria um arquivo chamado _DECRYPT_FILE.txt com as instruções de recuperação e um código de identificação da máquina sequestrada. Aparentemente, a variante do Erebus foi pensada para servidores web, já que afeta o diretório /var/www (onde normalmente são guardados os arquivos dos sites) e os arquivos ibdata, do banco de dados MySQL.

 

Detalhes sobre o ataque do Ransomware Petya: 

O ataque usa uma variante do Ransomware denominada “WannaCry” que criptografa os arquivos do computador e exige pagamento em bitcoin para liberá-los. Apesar de não conhecida a origem desta infecção, sabemos que esta ameaça utiliza uma vulnerabilidade de vários sistemas operacionais Microsoft Windows para propagar-se.

O malware Petya aproveita a brecha de segurança EternalBlue, presente em diversas versões do Windows. Ela foi descoberta por pesquisadores da NSA e vazada pelo grupo hacker conhecido como The Shadow Brokers.

A Microsoft já emitiu uma correção (MS17-010 – KB4012598) para essa vulnerabilidade no protocolo de transferência de dados SMB, até mesmo para o Windows XP, mas cabe às empresas instalar a atualização.

O dano mais grave está sendo relatado por empresas ucranianas, com sistemas comprometidos no banco central, no metrô e no aeroporto Boryspil de Kiev.

 

A Bitdefender identificou uma nova epidemia de ransomware que está se intensificando neste momento no leste da Europa. O ataque iniciou na Ucrânia e vem se espalhando.

Informações preliminares indicam que o malware responsável por esta infecção é muito semelhante à família de ransomware do GoldenEye.

A infecção vem ocorrendo através de um Worm que permite a infecção sem intervenção do usuário.

Ao contrário de outros ransomwares, a nova versão do GoldenEye tem dois níveis de criptografia: um que criptografa arquivos nos computadores das vítimas, e outro que criptografa estruturas NTFS. Assim ele consegue  impedir o recovery dos computadores através de CDS ou USB, eliminando a possibilidade de recuperar arquivos bem como amostras do ransomware.

Além disso, após a conclusão do processo de criptografia, o ransowmare tem uma rotina especializada para o forçar ao computador uma redefinição que o deixa inoperante até que um resgate de USD 300 por máquina seja pago.

O Bitdefender detecta e bloqueia todas as formas conhecidas desta nova variante do GoldenEye através de técnicas de machine Learning. Além disso novas vacinas serão inseridas nos próximos instantes.

Fonte: trendmicro.com

 

2 respostas

Trackbacks & Pingbacks

Deixe uma Resposta

Quer deixar um comentário?
Sinta-se a vontade para comentar!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *