Estamos testemunhando o aparecimento de uma nova variação de cryptomalware. Nossos especialistas o batizaram de ExPetr (outros o chamam de Petya, PetrWrap e outros). A principal diferença desse novo ransomware está no fato de que os criminosos escolheram o alvo com bastante precisão: a maioria são empresas, não consumidores. O pior, infraestruturas críticas estão entre as vítimas. Por exemplo, alguns voos atrasaram no aeroporto de Boryspil em Kiev por conta do ataque. Ainda pior – o sistema de monitoramento da infame usina de Chernobyl parou temporariamente pelo mesmo motivo.
Por que sistemas de infraestrutura crítica continuam sendo atingidos por malware? Por estarem diretamente conectados com a rede corporativa ou possuírem acesso à internet.
O que fazer
Assim como o WannaCry, temos nas mãos dois problemas distintos: a penetração inicial do malware na infraestrutura da empresa e sua proliferação interna. Esses dois problemas devem ser abordados separadamente.
A invasão
Nossos especialistas apontam diversas rotas pelas quais o malware poderia ter entrado na rede. Em alguns casos, por meio de sites maliciosos (infecção drive-by); usuários recebem o malware disfarçado de uma atualização no sistema. Em outros, a ameaça se espalhava como novas versões de softwares de terceiros – por exemplo, o M.E. Doc de contabilidade ucraniano. Em outras palavras, não há uma única forma de prever que entrada proteger.
Temos algumas recomendações para assegurar a infraestrutura de malwares:
- Oriente seus funcionários a nunca abrir anexos suspeitos ou clicar em links recebidos por e-mail (parece óbvio, mas continua acontecendo);
- Garanta que todos os sistemas conectados à internet estão equipados com soluções de segurança atualizadas que incorporem análise comportamental de componentes.
- Verifique se todos os componentes criticamente importantes da solução de segurança estão habilitados (para produtos da Kaspersky Lab, garanta que a rede de assistência de inteligência de ameaças na nuvem esteja ativada, a Kaspersky Security Network. Faça o mesmo com o System Watcher).
- Atualize soluções de segurança regularmente.
- Empregue ferramentas para controlar e monitorar soluções de segurança de um único dispositivo com permissões de administrador – não permita que funcionários brinquem com as configurações.
Uma medida adicional de proteção (especialmente se você não estiver usando produtos da Kaspersky Lab), é instalar nossa ferramenta gratuita Anti-Ransomware, compatível com a maioria das soluções de segurança.
Proliferação dentro da rede
Uma vez dentro de um único dispositivo, o ExPetr é muito melhor em se proliferar que o WannaCry. Isso ocorre por ter um número maior de ferramentas com esse propósito. Primeiro, usa pelo menos dois exploits: um EternalBlue modificado (também usado pelo WannaCry) e o EternalRomance (outro exploit do TCP port 445). Segundo, quando um sistema é infectado no qual o usuário possui privilégios de administrador, começa a se disseminar usando a tecnologia do Windows Management Instrumentation ou com a ferramenta de controle de sistema remoto o PsExec.
Para prevenir que malwares se proliferem dentro da sua rede (especialmente dentro de infraestrutura crítica), você deve:
- Isolar sistemas que requerem uma conexão de internet ativa em um segmento separado da rede.
- Divida em subredes físicas ou virtuais com conexões restritas o resto da rede, conecte apenas sistemas que necessitam delas para processamento tecnológico.
- Veja os conselhos que nossos especialistas deram depois do evento com o WannaCry (especialmente úteis para indústrias).
- Garanta que atualizações críticas de segurança do Windows sejam feitas a tempo. Particularmente importante nesse contexto, a MS17-070 corrige as vulnerabilidades que permitem o EternalBlue e o EternalRomance;
- Isole os servidores de backup do resto da rede e desencoraje o uso de dispositivos remotos.
- Proíba execução de um arquivo chamado dat usando o controle de aplicações da Kaspersky Endpoint Security for Business ou com o Windows AppLocker.
- Para infraestrutura contendo múltiplos sistemas embutidos, implante soluções especializadas como o Kaspersky Embedded Security Systems.
- Configure o modo de Default Deny e adicione medidas protetivas adicionais possíveis nos sistemas– por exemplo, em computadores utilitários que raramente são modificados. Isso pode ser feito com o componente de Controle de Aplicações do Kaspersky Endpoint Security for Business.
Como sempre, recomendamos fortemente que implemente abordagem multicamadas, incorpore atualizações automáticas de softwares (o que inclui o sistema operacional nesse caso), componentes antiransomware e que monitore todos os processos, dentro do SO.
Pagar ou não pagar
Finalmente, por mais que sempre recomendemos não pagar o resgate, entendemos que algumas empresas sentem não ter escolha. Contudo, se seus dados já foram infectados pelo ExPetr ransomware, você não deve pagar o resgate em hipótese alguma.
Nossos especialistas descobriram que esse malware não tem mecanismos para salvar o ID de instalação. Sem isso, o autor da ameaça não pode extrair as informações necessárias para realizar o desbloqueio. Em suma, eles simplesmente são incapazes de devolver suas informações.