Ransomware Petya: um ataque financiado pelo Estado ou não

Um ataque generalizado de ransomware apelidado de Petya / Petrwrap, com uma grande semelhança aos ataques de WannaCry no início deste mês, atingiu máquinas na Espanha, França, Ucrânia, Rússia e alguns outros países na terça-feira, mas o maior impacto do ataque foi sentido na Ucrânia, onde várias organizações governamentais e do setor privado foram afetadas.

Mais tarde, no mesmo dia, a conta de e-mail de hackers que foi a chave para descriptografar os dispositivos afetados foi desativada pela empresa de e-mail Posteo, resultando em um alvoroço, já que os usuários afetados não receberão a chave de descriptografia mesmo que paguem o resgate de US $ 300 em Bitcoins.

A magnitude do ataque à Ucrânia foi relativamente mais alta quando comparada a outros países, o que levou muitos pesquisadores de segurança e especialistas a acreditarem que o ataque poderia ter sido apenas um ataque financiado pelo Estado contra a Ucrânia.

Como a conta Bitcoin que estava aceitando pagamentos tinha acumulado mais de US $ 10 mil em pagamentos de resgates antes do fechamento do ID, isso levou os pesquisadores a acreditar que o motivo real por trás do ataque não era dinheiro, mas prejudicava a Ucrânia.

Leia também: O que é o Ransomware e como se proteger.

“O fato de fingir ser um ransomware sendo, na verdade, um ataque de estado-nação - especialmente desde que WannaCry provou que ransomware amplamente difundido não é financeiramente lucrativo - é, em nossa opinião, um modo muito sutil de atacar para controlar a narrativa do ataque ”, concluiu Matt Suiche, da Comae.

Petya: Wiper, não Ransomware; Ou não

O ransomware Petya conseguiu arrecadar uma quantia insignificante e afetou o banco central da Ucrânia, os transportes de metrô, o aeroporto e a usina de Chernobyl, levando os pesquisadores a acreditarem que o ataque foi financiado pelo Estado e visado especificamente contra a infraestrutura da Ucrânia.

Pesquisadores de segurança descobriram que o ransomware Petya não poderia ter sido descriptografado.

“Após uma análise da rotina de criptografia do malware usado nos ataques de Petya, pensamos que o agente de ameaça não pode descriptografar o disco das vítimas, mesmo que um pagamento tenha sido feito. Isso apóia a teoria de que essa campanha de malware não foi projetada como um ataque de ransomware para obter ganhos financeiros. Em vez disso, parece que foi projetado como um limpador fingindo ser um ransomware ”, afirmaram os pesquisadores da Kaspersky Security.

Além disso, as infecções iniciais foram enviadas juntamente com uma atualização do MeDoc, um programa de contabilidade ucraniano. Embora não esteja claro por que os países adicionais foram alvejados, se essa suspeita for verdadeira, então pode ser para ajudar a disfarçar Petya como um ataque mundial de ransomware, em vez de um ataque patrocinado pelo Estado contra a Ucrânia.

Um dos principais suspeitos do ataque é o governo russo, que no passado foi responsabilizado por ataques cibernéticos à infraestrutura pública da Ucrânia, que começou logo após a anexação da Crimeia em 2014.

Embora haja muitas evidências apontando para Petya ser um limpador e não um ransomware, tudo é circunstancial na melhor das hipóteses.

É bem possível que esses sistemas públicos do governo ucraniano, assim como outros governos e organizações privadas em outros países do mundo, tenham se mostrado um alvo fácil para os hackers e é por isso que eles foram atacados.

Leia também: Ataques Ransomware em ascensão: aqui está como ficar seguro.

Se você falar sobre o sistema de descriptografia e pagamento defeituoso para o ataque ransomware Petya, poderia ter sido apenas o caso de codificação negligente e acompanhamento por parte dos hackers.

Mesmo que os invasores não consigam ganhar dinheiro, o malware também rouba credenciais e outros dados dos sistemas infectados, o que pode ser útil para novos ataques.

Embora não se possa dizer nada sobre se o ataque do ransomware Petya foi um caso de hacking ou guerra híbrida fracassada, uma coisa é certa: é preciso ter uma estrutura de segurança melhor e mais confiável para evitar os perigos do cyber-hacker. ataques no futuro.