Ataque Petya - Porque as lições não foram aprendidas?

Começa a ser padrão, um mega-ataque por mês. Ainda muitas organizações estavam a recompor-se do WannaCry quando um derivado do Petya combinado com elementos do GoldenEye ( razão porque o resultado também é dominado por NotPetya ou Nyetya) voltou a fazer soar os alarmes.

Desta vez existiu claramente um país visado, a Ucrânia, sendo que o resto da propagação foram “danos colaterais” essencialmente por via das multinacionais que operam nesse país do leste europeu e por empresas com relações comerciais com a Ucrânia.

O ataque terá tido como primeiro alvo o Governo de Kiev, bancos e empresas estratégicas. Face ao facto de novamente ser um ataque que teve pouco retorno financeiro para os cibercriminosos (10.000 $USD de acordo com a Check Point), existe a suspeita não confirmada que a motivação terá sido de ordem estratégica ou política e não simplesmente criminal. Esta possibilidade não está confirmada.

A lista de empresas ucranianas afetadas inclui a distribuidora nacional de eletricidade, que foi no passado alvo de um ataque que provocou o maior blackout de que há registo na europa.
Existe uma possibilidade de o início do ciberataque ter tido lugar através de uma atualização de software para o programa de contabilidade denominado MeDoc, utilizado por um grande número de organizações ucranianas, ou que têm relação comercial com a Ucrânia, e a partir dessa infeção se tenha propagado por e-mail e lateralmente em redes empresariais e governamentais. A software house nega, porém, estar na origem da propagação.
 

O que falhou agora ?

Era consensual entre os profissionais da cibersegurança que eventos de malware de propagação rápida do tipo WannaCry voltariam a acontecer, o que se veio a verificar esta semana. Porém, seria de esperar mais alguma resiliência após o mais mediático dos ataques que infetou 300 mil máquinas em todo o mundo.

A verdade é que seis semanas é pouco tempo para muitas organizações, e o assunto da atualização de patch não é tão linear assim. Frequentemente não é possível efetuar essas atualizações de segurança antes de verificar a compatibilidade com aplicações legacy das empresas.
Existem também razões financeiras e razões logísticas para que as atualizações não sejam executadas rapidamente. Muitos sistemas agora afetados estão em regime 24/7, como é o caso do aeroporto de Kiev ou a companhia russa de petróleo Rosneft,  entre outras grandes empresas.

O que torna o Petya modificado tão eficaz são as suas capacidades de worm que o permite propagar lateralmente dentro das redes mesmo quando apenas uma maquina não atualizada foi infetada, o que começa a levantar dúvidas sobre se não será necessário um outro novo patch da Microsoft para resolver esta ameaça. Os próprios investigadores de Redmond afirmam que este ransomware tem técnicas de multi-propagação lateral e usa funções de file-shares legítimas para distribuir o payload com capacidade de roubar as credenciais corretas. Essa suspeita já tinha sido identificada pela Check Point ao afirmar a possibilidade do malware usar também o Loki Bot.
 

Qual a motivação do ataque ?

Com o WannaCry, e passado o “pânico”, muitos especialistas se perguntaram qual a motivação para desenvolver algo tão sofisticado quando o payback fora tão baixo face ao potencial criminal. Por que motivo teria o WannaCry  um killswitch que seria mais tarde ou mais cedo descoberto, anulando assim o potêncial do resultado criminal?

O ransomware é um atividade criminal cada vez mais lucrativa mas o modus operandi não é este.
Com o Petya a mesma pergunta volta a surgir. Qual o criminoso que utiliza uma conta de e-mail num respeitável ISP em Berlim ? Obviamente que em duas horas a conta estava suspensa impossibilitando a informação de pagamento em Bitcoins.

Nas últimas semanas vários responsáveis confidenciaram à IT Insight que o WannaCry dificilmente teria uma motivação criminal comum. Agora é o mais alto responsável técnico da McAfee/Intel,  Steve Grobman que comenta desta forma o ataque Petya:

- “We believe that today's events are part of the natural evolution of ransomware technology, but also a test-run for a much bigger and bolder attack in the future" .

Para ler a cobertura do ataque  Petya clique aqui.