Guest

Nova variante de ransomware “Nyetya” afeta sistemas de todo o mundo

Hierarchical Navigation

O malware utiliza três mecanismos de infeção, incluindo a mesma vulnerabilidade explorada pelo WannaCry.

img

Imagem de um sistema atacado pelo “Nyetya”

Porto Salvo, 28 de junho de 2017.-  Uma nova variante de malware começou a afetar ontem múltiplas organizações em todo o mundo. A Talos – Divisão de Inteligência de Cibersegurança da Cisco – identificou-o como sendo o ransomware “Nyetya” devido às diferenças relativamente às variantes Petya, Petrwrap ou GoldenEye, como também foi denominado.

O malware comporta-se como um worm que se estende lateralmente a toda a rede afetada tal como o WannaCry, ransmoware que infetou sistemas de todo o mundo, no passado mês de maio. Porém, a principal diferença é que este novo ataque propaga-se internamente, não percorrendo a Internet através de componentes externos como o e-mail.

Infeção e Vias de Propagação

Uma vez na rede, o Nyetya utiliza três mecanismos para se instalar de forma automática: através da vulnerabilidade conhecida como Eternal Blue (protocolo SMB da Microsoft), já explorada pelo WannaCry em maio; Psexec, uma ferramenta legítima de administração do Windows; e WMI, uma componente legítima do Windows.

Esta nova variante de ransomware cifra o Master Boot Record (MBR) da máquina infetada – algo semelhante à lista de conteúdos do disco duro – pedindo um resgate em bitcoins em troca da recuperação dos dados cifrados.

As análises iniciais da Talos sublinham que o ciberataque começou na Ucrânia, possivelmente através de uma atualização de software para o programa de gestão de impostos denominado MeDoc, utilizado por um grande número de organizações ucranianas ou que têm relação comercial com a Ucrânia. O ataque afetou também organizações em Espanha, França, Dinamarca, Reino Unido, Rússia e Estados Unidos.  

Proteção e Recomendações

Desde abril, momento em que se conheceu esta vulnerabilidade, que as soluções de segurança de rede da Cisco (Firepower NGFW, Firepower NGIPS e Meraki MX) já tinham atualizadas as regras para detetar e deter esta atividade maliciosa nas conexões SMB.

As soluções de segurança e proteção face ao malware avançado da Cisco (AMP, Advanced Malware Protection) também estão atualizadas com a informação sobre este ransomware, de modo a detetá-lo e bloqueá-lo.

As recomendações da Cisco para que as organizações se possam proteger face a qualquer variante de ransomware e de outro tipo de malware são:

  • Garantir que utilizam sistemas operativos com apoio e atualizados, protegendo de forma efetiva os terminais.
  • Utilizar software anti-malware e receber e aplicar as atualizações de forma regular.
  • Ter um plano de recuperação contra desastres com cópias de segurança de dados offline.

No seu Relatório Semestral de Cibersegurança de Julho, a Cisco previu o aparecimento de novas variantes de ransomware mais destrutivas e capazes de se auto-replicar e sequestrar redes inteiras. O relatório assinalava também que as ramificações de malware modular poderão mudar as suas táticas rapidamente para maximizar a sua eficácia. Por exemplo, os futuros ataques de ransomware ocultarão a sua deteção, limitando a utilização do CPU e evitando assim ações “command-and-control”, espalhando-se mais rapidamente.

A Talos continua a investigar esta nova infeção. As mais recentes informações podem ser consultadas através deste blogue.   

Declarações de Apoio

  • Eutimio Fernández, Diretor de Segurança da Cisco Portugal:Neste mundo hiperconectado, a questão não é se uma organização vai ser atacada, mas sim quando. As organizações devem adotar uma defesa integrada da rede, que elimine a complexidade das soluções pontuais. Que seja, também, capaz de se autodefender através de ferramentas automatizadas, operando sob o modelo de detetar uma vez e proteger em tudo e durante todas as etapas do ataque: antes, durante e depois. 

Acerca da Cisco

A Cisco (NASDAQ: CSCO) é líder mundial em tecnologia que tem mantido a Internet a funcionar desde 1984. As nossas pessoas, produtos e parceiros ajudam a sociedade a estar conectada de forma segura e encontrar hoje a oportunidade digital de amanhã. Para ter acesso aos Comunicados de Imprensa em português visitar http://www.cisco.com/web/PT/press/press_home.html.

Para mais informações visite http://thenetwork.cisco.com e http://newsroom.cisco.com/emearnetwork/.

Siga a Cisco Portugal no Twitter:

Para obter mais informação:

Cisco Portugal
Ariadna Hernández, Diretora de Comunicação
ariahern@cisco.com

LEWIS
Ana Luzia, Head of Lisbon
Tel.: 213 245 016
E-mail: ana.luzia@teamlewis.com

Conte connosco

  • Ligue grátis 800 880 456
  • Dias úteis, 9h-13h e 14h-18h