A análise levada a cabo pela empresa russa Kaspersky indica que 50% dos alvos do ataque de malware ExPetr são dirigidos a empresas industriais. A lista inclui eletricidade, petróleo e gás, transporte, logística e outros setores entre os principais alvos. ExPetr é um tipo de malware ransomware. Para além da infeção ao equipamento da vítima, encripta o disco rígido e torna o dispositivo inativo, mostrando uma mensagem a pedir um resgate.De acordo com os analistas da Kaspersky Lab, ExPetr está construído de uma forma que torna completamente impossível a recuperação dos dados e a desencriptação dos arquivos – mesmo que se pague o resgate. Para desencriptar o disco da vítima, o atacante precisa do ID da instalação. Em versões anteriores de ransomware “similares” como o Petya/Mischa/GoldenEye este ID de instalação continha a informação necessária para o restauro. O ExPetr não tem isso, o que significa que o ator da ameaça pode não conseguir extrair a informação necessária para a desencriptação.
Para instalações industriais e infraestruturas críticas, as consequências de um ataque com sucesso com este malware poderiam ser devastadoras.
“Neste momento, é difícil dizer se o ExPetr está direcionado especificamente a uma indústria em particular ou se afetou tantas outras áreas por coincidência. No entanto, a natureza deste malware é tal que poderia facilmente comprometer o funcionamento de uma instalação de produção durante um tempo considerável. É por isso que este ataque é um exemplo da razão pela qual as infraestruturas industriais devem estar devidamente protegidas contra ameaças cibernéticas, de acordo com Kirill Kruglov, perito em segurança na Kaspersky Lab.
O ataque desencadeou-se a 27 de junho. Atacou pelo menos 2000 utilizadores – na sua maioria na Rússia e Ucrânia. Registaram-se ainda ataques em Espanha, Polónia, Itália, entre outros. Na maioria dos casos até à data, a Kaspersky Lab detetou proativamente o vetor inicial de ameaça através do System Watcher.
A Kaspersky Llab confirma que o malware partilha algumas características com o Petya e também utiliza as ferramentas de PsExec. Porém, tem uma funcionalidade totalmente diferente do Petya, pelo que é chamado ExPetr.
Os analistas da Kaspersky Lab continuam a investigar a nova vaga de ataques que está a atacar várias organizações em todo o mundo e os detalhes adicionais continuam a ser disponibilizados no blog da empresa. O mais recente post pode ser encontrado aqui e tem informação adicional sobre a ameaça.
