Como ataca o NotPetya

A GMV, empresa líder em Cibersegurança, confirma que o ciberataque que afetou instituições, bancos e empresas localizadas na Ucrânia, assim como algumas multinacionais com sede em Espanha, constitui um novo ataque do tipo ransomware adaptado à difusão em redes empresariais.

Mariano Benito, CISO da GMV Secure e-Solutions, analisa o novo ataque e garante que foi mais complexo do que o WannaCry ou o Petya. É "muito mais complexo e perigoso que o ataque anterior (WannaCry) porque foi concebido para causar mais danos e com a intenção de o conseguir”. O ataque designado por NotPetya “utiliza, para passar de uns equipamentos a outros, o mesmo mecanismo (MS17-010) que utilizou o WannaCry. Mas, se falhar, tenta utilizar as autorizações de ligação automática entre os equipamentos que algumas organizações têm configurados para esse fim.”  Se este procedimento também falhar, "tenta apoiar-se nos sistemas de administração centralizada do Windows para passar a outros equipamentos”.

Outra diferença fundamental, conforme aponta Benito, é a paciência com que atua. NotPetya “tenta primeiro infetar outros equipamentos da rede, levando entre 30 a 60 minutos para o fazer antes de danificar o sistema que infetou”. Por isso, "é provável que os responsáveis por uma rede não possam reagir ao detetarem a primeira infeção porque todos os equipamentos já estarão infetados”.

Da mesma forma, "a infeção é também mais completa com o NotPetya porque o WannaCry selecionava ficheiros e apenas ia cifrando um a um, enquanto o NotPetya altera a totalidade do disco rígido do equipamento".

Como se infeta uma empresa? Não se faz por contágio de outras empresas infetadas, "salvo se estiverem na mesma rede de comunicação. Cada empresa deve infetar-se de forma independente, sendo o correio malicioso a forma habitualmente mais usada", explica o CISO da GMV.

Os danos causados pelo NotPetya “podiam ter sido maiores porque foi concebido para isso”. Felizmente, "o ataque WannaCry permitiu aplicar medidas preventivas eficazes".