0
0
Em 27 de junho de 2017, véspera do feriado do Dia da Constituição da Ucrânia, um grande ataque cibernético global foi lançado, infectando mais de 80 empresas naquele país usando um novo patógeno cibernético que ficou conhecido como NotPetya. NotPetya não ficou dentro das fronteiras da Ucrânia, mas se espalhou para infectar e causar estragos a milhares de organizações em toda a Europa e em todo o mundo.
NotPetya foi assim chamado porque era semelhante, mas diferente de Petya, um vírus ransomware autopropagante descoberto em 2016 que, ao contrário de outras formas nascentes de ransomware na época, era incapaz de ser descriptografado. Em outro afastamento das formas anteriores de ransomware, Petya também substituiu e criptografou os registros mestres de inicialização e, portanto, foi considerado mais uma forma de malware de limpador do que ransomware de boa-fé.
Ransomware Phony que se propagou facilmente
Como Petya, seu sucessor NotPetya não era um ransomware real porque não poderia ser descriptografado, com os atacantes se mascarando por trás de uma falsa demanda de resgate de US$ 300 para fornecer cobertura para o que acabou sendo seus propósitos destrutivos reais. NotPetya surgiu cinco semanas depois de outro perigoso pedaço de ransomware falso, WannaCry. Considerada uma verdadeira “arma cibernética”, a NotPetya compartilhou com a WannaCry o uso do EternalBlue, uma ferramenta cibernética desenvolvida e roubada dos EUA. Agência de Segurança Nacional (NSA).
Usando o Eternal Blue, o NotPetya explorou uma vulnerabilidade no protocolo Server Message Block (SMB) do Windows, uma falha que a Microsoft corrigiu meses antes no Windows 10. No entanto, tudo o que foi preciso para que o malware se espalhasse foi um único computador sem correção do Windows 10 ou um PC com uma versão antiga do Windows dentro de uma organização. Trabalhar em conjunto com o EternalBlue foi outra ferramenta poderosa, uma antiga ferramenta de pesquisa de segurança chamada Mimikatz que poderia extrair senhas da memória. As duas ferramentas juntas permitiram que o ataque se movesse de máquina para máquina.
Malware altamente contagioso da GRU da Rússia
Embora alguns especialistas considerem o NotPetya uma variante do Petya, os dois malwares são geralmente considerados separados e distintos, particularmente considerando como eles se propagam. NotPetya era muito mais contagioso do que Petya, aparentemente sem como impedi-lo de se espalhar rapidamente de um hospedeiro para outro.
Como o especialista e jornalista da NotPetya Andy Greenberg documentou, a gigante de transporte marítimo NotPetyacrippled Maersk, a empresa farmacêutica Merck, a subsidiária europeia da Fedex, TNT Express, a empresa francesa de construção Saint-Gobain, o produtor de alimentos Mondelēz e o fabricante Reckitt Benckiser. Ao todo, o malware causou mais de US$ 10 bilhões em danos globais. A fonte do NotPetya era um grupo de agentes russos do GRU conhecido como Sandworm ou Unidade 74455, que se acredita estar por trás de um ataque cibernético de 2015 à rede elétrica ucraniana, entre outros incidentes cibernéticos prejudiciais.
A CSO perguntou a dois especialistas que lidaram com as consequências da NotPetya há cinco anos como eles veem o ataque cibernético de 2017 em retrospectiva e quais corolários ele poderia ter para a atual guerra da Rússia contra a Ucrânia.
Ransomware como arma de guerra
Amit Serper, que era o principal pesquisador de segurança da Cybereason quando a NotPetya atingiu e agora é o diretor de pesquisa de segurança da Sternum, foi a primeira pessoa a desenvolver uma solução alternativa que desativou o NotPetya. Serper diz à CSO que, olhando para trás, “O ransomware estava apenas começando a se torna predominante. O ransomware era direcionado principalmente a pessoas comuns. Não estava visando grandes empresas ou corporações como é hoje. Então, ouviríamos sobre como algum Joe ou Jane comum criptografou toda a sua máquina. Lembro-me de exemplos de idosos perdendo o acesso às fotos de seus netos e esse tipo de coisa.”
Depois que WannaCry e NotPetya chegaram, o ransomware se transformou de algo usado de forma oportunista por cibercriminosos, como uma “exploração motriz”, diz Serper, para “quase uma arma de guerra em que os atores do estado-nação usariam o ransomware como uma ferramenta para impedir que outras organizações e países grandes e significativos funcionassem. Então, NotPetya e WannaCry foram um momento decisivo naquela época.”
Ambos os vírus tornaram o mundo mais complicado. Até aquele momento, os fornecedores de segurança cibernética se concentraram em problemas teóricos abstratos de segurança, diz Serper, mas de repente tiveram que lidar com o profundo uso indevido de tecnologias simples, como criptografia e descriptografia para alavancagem geopolítica.
“Precisávamos descer um pouco à Terra e cuidar desse problema antes de olharmos para ameaças completamente teóricas ou mais teóricas e mais difíceis de implementar. Não se trata mais de hackear a Coca-Cola e roubar a receita secreta. É sobre uma empresa como a Coca-Cola se encontrando no meio de uma escaramuça geopolítica internacional e tendo suas coisas completamente inúteis como esse tipo de dano colateral.”
Em um nível pessoal, NotPetya marcou um ponto de virada significativo na vida de Serper. “Isso afetou minha vida de uma maneira muito, muito direta. É a razão pela qual consegui meu green card para morar nos EUA.”
O advogado de Serper construiu seu pedido para o chamado visto Einstein principalmente em torno de NotPetya. “Eu não tenho um diploma do ensino médio. Eu não tenho um diploma acadêmico. Então, foi muito difícil provar que eu sabia do que estava falando. Uma grande parte do nosso caso de imigração foi minha contribuição para impedir que NotPetya acontecesse. Funcionou e funcionou durante a administração anterior, onde os imigrantes não eram realmente uma coisa de interesse”, diz Serper.
NotPetya mudou a consciência dos CISOs
Adam Flatley é atualmente o diretor de inteligência de ameaças da Redacted, mas foi o diretor de operações da Cisco Talos durante o NotPetya, quando sua equipe foi uma das primeiras a descobrir o evento. “Acredito que o evento NotPetya mudou a consciência de muitos CISOs e CSOs em todo o mundo”, diz ele à CSO.
NotPetya ensinou aos CISOs o que poderia acontecer se eles não segmentarem corretamente suas redes. “Se você olhar para o que aconteceu com o NotPetya, verá que o [malware] tinha um mecanismo de propagação irrestrito que iria o mais longe possível”, diz Flatley. “Quando eles se desencadearam na Ucrânia, todas essas empresas que tinham conexões de rede na Ucrânia com redes planas foram dizimadas por esse ataque.”
O conflito atual na Ucrânia evoca para Flatley o que aconteceu com NotPetya. “Quando o início da guerra estava começando, falou-se muito sobre como os russos estariam usando ransomware ou limpadores para atacar a Ucrânia. Isso imediatamente desencadeou essa memória do que aconteceu da última vez. Então, quando a guerra começou a seguir em frente, havia muitas evidências de limpadores sendo usados na Ucrânia”, diz ele. “Mais uma vez, o medo de que se espalharia para fora do país. Felizmente, até agora [os russos] têm usado configurações muito conservadoras em seus limpadores.”
No entanto, Flatley diz que a perspectiva de um evento do tipo NotPetya emanando do conflito atual ainda é muito real. “É interessante que os russos estejam sendo um pouco mais cuidadosos desta vez com seus ataques cibernéticos, mas isso só é limitado pelo desejo de ter cuidado. A tecnologia ainda está lá para que eles alterem facilmente a configuração e a soltem, se quisessem.”
FONTE: CSO ONLINE