Vírus Petya é mais perigoso e mais sofisticado que WannaCry

O vírus Petya, que afetou grandes empresas de todo o mundo nesta quarta-feira é mais perigoso e mais sofisticado que o WannaCry, mas usa o mesmo princípio de propagação maciça através das redes locais. “Apesar de ainda não sabermos com certeza qual foi o primeiro equipamento infectado nem como se infectou, sabemos que esse novo malware usa a vulnerabilidade EternalBlue junto ao que chamamos, em segurança cibernética, de movimentos laterais”, diz ao EL PAÍS, Sergio de los Santos, diretor de inovação e laboratório na ElevenPaths, unidade especializada em segurança cibernética da Telefónica. “Agora não só procura equipamentos vulneráveis, como também emprega ferramentas de administração para infectar todos os equipamentos de uma rede se, por acaso, encontra uma máquina com esses privilégios”.

“Já tínhamos esquecido os worms e os ataques informáticos sempre estiveram focados em ataques sigilosos através de infecções por email nos últimos anos”, observa Santos. “Mas não aprendemos a lição, apesar do puxão de orelha”.

O especialista de segurança da ElevenPaths observa que a parte importante do vírus é sua virtude de worm e, assim como no WannaCry, não se pode determinar um motivo claro para isso. Se houvesse interesse lucrativo por trás do ciberataque, seria muito mais rentável roubar e vender informação passando despercebido. “Fazer tanto barulho não tem sentido quando se pretende obter algo, é muito estranho”, ressalta.

Não aprendemos a lição apesar do puxão de orelha

Não é uma réplica do WannaCry

É um ciberataque mais bem desenhado, menos amador e que conta com esses movimentos laterais como principal novidade, “mas o Petya não é um novo WannaCry”, explicou o jovem conhecido como MalwareTech, que conseguiu deter o vírus com um domínio de 10 dólares há um mês. “É um malware comum que não se propaga entre diferentes redes”.

O WannaCry se espalhou empregando exclusivamente a vulnerabilidade no protocolo de rede de algumas versões do Windows que era armazenada pela Agência Nacional de Segurança dos Estados Unidos e que foi divulgada pelo grupo Shadow Brokers. Não há evidências de uma propagação entre redes agora, mas a infecção inicial foi maior.

“O Petya possivelmente se propagou entre milhões de computadores ao comprometer o popular software ucraniano MeDoc, usando suas atualizações para instalar o vírus”, diz MalwareTech em seu blog. “Esse vetor inicial não está confirmado, inclusive a companhia negou, mas há evidências que sustentam esse ponto”. A Microsoft confirmou em seu blog técnico que o MeDoc foi um dos vetores iniciais de infecção através de seu sistema de atualização.

Em tese, embora sua propagação esteja limitada às redes locais, o herói contra o WannaCry observa que o vírus pode passar para outras redes se a máquina infectada tiver um endereço IP público e estiver com uma rede mal configurada. É difícil acontecer, mas possível se houver um grande número de infectados.