Ataque massivo do ransomware GoldenEye afeta usuários em todo o mundo
June 2017
Campanha Massiva do Ransomware GoldenEye Atinge Usuários em Todo o Mundo Infraestruturas de várias instituições importantes da Ucrânia foram tiradas do ar A Bitdefender identificou uma campanha massiva de ransomware que está em andamento no mundo todo.
Artigo sendo atualizado...
Atualização 2:00 - 28/06/2017
Há evidências crescentes de que a campanha do ransomware GoldenEye / Petya talvez não tivesse a intenção de atingir ganhos financeiros mas sim a de destruição de dados.
A escolha de um serviço de e-mail regular e que não é à prova de bala para agir como um canal de comunicação foi, obviamente, uma decisão errada em termos de negócios.
A falta de automação no processo de pagamento e recuperação das chaves torna muito difícil para os criminosos honrarem sua parte da promessa.
Há uma total falta de usabilidade na confirmação do pagamento: o usuário tem que digital manualmente uma "chave de instalação pessoal" + "carteira" muito longa com maiúsculas e minúsculas que é propensa a erros de digitação.
Atualização 0:00 - 28/06/2017
O endereço de e-mail usado pelos cibercriminosos para as confirmações de pagamento foi suspenso pela Posteo. Isso significa que todos os pagamentos feitos nas últimas horas não poderão ser validados, e certamente não receberão a chave de criptografia. Não que já não tivéssemos aconselhado o contrário, mas se está planejando pagar o resgate, pare agora. Você irá perder seus dados de qualquer forma, mas acabará contribuindo para o desenvolvimento de novos malwares. Ainda assim, 15 novos pagamentos foram realizados após a suspensão do e-mail. A carteira agora possui 3.64053686 BTC vindos de 40 pagamentos, com um valor total de US $9.000.
Atualização 15:30 - 27/06/2017
Várias vozes na indústria especularam que o vetor inicial de ataque era uma atualização comprometido do software de contabilidade M.E. Doc que todas as empresas afetadas estavam utilizando. Nós confirmamos violações em empresas que não usam o respectivo software. Além disso, na página do Facebook da empresa ela nega as alegações.
Atualização 14:18 - 27/06/2017
Várias empresas confirmaram que foram vítimas do ransomware GoldenEye / Petya: o sistema de monitoramente de radiação de Chernobyl, a empresa de advocacia DLA Piper, a farmacêutica Merck, vários bancos, um aeroporto, o metrô de Kiev, a empresa de energia e transporte dinamarquesa Maersk, o anunciante britânico WPP e a indústria de óleo russa Rosnoft. Os ataques foram generalizados na Ucrânia, afetando a Ukrenergo, a distribuidora estatal de energia, e também vários bancos do país.
Atualização 12:45 - 27/06/2017
Operadores do GoldenEye / Petya já receberam 13 pagamentos em quase 2 horas. Aproximadamente US $3.500 em moedas digitais.
Atualização 12:30 - 27/06/2017
O Bitdefender Labs confirmou que o ransomware GoldenEye / Petya aproveita recursos do exploit EternalBlue para se espalhar de um computador para o outro. Exploits adicionais também estão sendo usados na propagação. Mais detalhes em breve.
Artigo Original:
Informações preliminares mostram que a amostra do malware responsável pela infecção é quase um clone idêntico da família de ransomwares GoldenEye. Nesse momemtno não há informações sobre o vetor de propagação mas presumimos que ele seja carregado por um componente worm.
Ao contrário da maioria dos ransomwares, essa nova variação do GoldenEye possui duas camadas de criptografia: uma que criptografa individualmente arquivos alvo no computador e outra que criptografa estruturas NTFS. Essa abordagem impede que os computadores da vítima sejam inicializados em um sistema operacional nativo e de recuperar informações armazenadas ou coletar amostras.
Além disso, após a conclusão do processo de critografia, o ransomware possui uma rotina especializada que forçadamente trava o computador para ativar uma reinicialização que torna o computador inutilizável até o pagamento de um resgate de US $300.
Bitdefender bloqueia os samples atualmente conhecidos da nova variante GoldenEye. Se você tem instalada uma solução de segurança Bitdefender para consumidores ou empresas, os seus computadores não estão em perigo.