Conheça os novos ransomwares Petya e Erebus, e saiba como eles se aproveitam das vulnerabilidades do Windows e Linux
Os hackers não estão de brincadeira!
Você já deve saber que estamos passando por uma nova onda de ataques Ransomware, dessa vez, conhecido pelo nome de Petya (2017). E este não foi o único ataque recente registrado pela Trend Micro, que aponta um novo ransomware para Linux chamado Erebus.
Não se sabe como o Erebus atacou os servidores de grandes empresas, mas a Trend Micro especula que o ransomware se aproveitou de algum exploit no kernel, no Apache ou no PHP, que estão desatualizados na Nayana: a versão do PHP é a 5.1.4, lançada em 2006. Uma falha no kernel do Linux, conhecida como Dirty Cow, permitia que um usuário comum obtivesse permissões de root e ficou sem correção entre 2007 e 2016.
Já foram relatados problemas em aeroportos e bancos da Europa e aqui no Brasil algumas instituições também já foram afetadas. Considerando que a forma de propagação deste tipo de ataque é muito rápida, precisamos nos prevenir mantendo os nossos antivírus atualizados com a última versão.
Detalhes sobre o ataque do Ransomware Erebus:
O ransomware Erebus criptografa os dados do servidor e cria um arquivo chamado _DECRYPT_FILE.txt com as instruções de recuperação e um código de identificação da máquina sequestrada. Aparentemente, a variante do Erebus foi pensada para servidores web, já que afeta o diretório /var/www (onde normalmente são guardados os arquivos dos sites) e os arquivos ibdata, do banco de dados MySQL.
Detalhes sobre o ataque do Ransomware Petya:
O ataque usa uma variante do Ransomware denominada “WannaCry” que criptografa os arquivos do computador e exige pagamento em bitcoin para liberá-los. Apesar de não conhecida a origem desta infecção, sabemos que esta ameaça utiliza uma vulnerabilidade de vários sistemas operacionais Microsoft Windows para propagar-se.
O malware Petya aproveita a brecha de segurança EternalBlue, presente em diversas versões do Windows. Ela foi descoberta por pesquisadores da NSA e vazada pelo grupo hacker conhecido como The Shadow Brokers.
A Microsoft já emitiu uma correção (MS17-010 – KB4012598) para essa vulnerabilidade no protocolo de transferência de dados SMB, até mesmo para o Windows XP, mas cabe às empresas instalar a atualização.
O dano mais grave está sendo relatado por empresas ucranianas, com sistemas comprometidos no banco central, no metrô e no aeroporto Boryspil de Kiev.
A Bitdefender identificou uma nova epidemia de ransomware que está se intensificando neste momento no leste da Europa. O ataque iniciou na Ucrânia e vem se espalhando.
Informações preliminares indicam que o malware responsável por esta infecção é muito semelhante à família de ransomware do GoldenEye.
A infecção vem ocorrendo através de um Worm que permite a infecção sem intervenção do usuário.
Ao contrário de outros ransomwares, a nova versão do GoldenEye tem dois níveis de criptografia: um que criptografa arquivos nos computadores das vítimas, e outro que criptografa estruturas NTFS. Assim ele consegue impedir o recovery dos computadores através de CDS ou USB, eliminando a possibilidade de recuperar arquivos bem como amostras do ransomware.
Além disso, após a conclusão do processo de criptografia, o ransowmare tem uma rotina especializada para o forçar ao computador uma redefinição que o deixa inoperante até que um resgate de USD 300 por máquina seja pago.
O Bitdefender detecta e bloqueia todas as formas conhecidas desta nova variante do GoldenEye através de técnicas de machine Learning. Além disso novas vacinas serão inseridas nos próximos instantes.
Fonte: trendmicro.com
