Última atualização 16:09
Depois do desastre causado no mês passado pelo ransomware WannaCry, uma nova ameaça chamada “Petya” surge hoje. De acordo com o New York Times, bancos e empresas europeias, tanto públicas quanto privadas, estão sendo afetados por um ataque de ransomware que cobra do usuário US$ 300 em bitcoin para liberar suas máquinas. O Brasil também pode ter sido atacado, conforme apurou o Olhar Digital.
Por enquanto, o país mais afetado é a Ucrânia. Por lá, diversos bancos e empresas – incluindo o banco central e a empresa estatal de energia – foram atingidos por um “vírus desconhecido”. Como resultado, os bancos “estão tendo dificuldades com serviços de clientes e para desenvolver suas operações bancárias”, disse o banco central numa declaração.
A estatal de energia, Ukrenergo, também afirmou ter sido afetada. No entanto, segundo uma declaração enviada pela empresa à Reuters, o ataque não teria impactado a distribuição de energia no país. Outra empresa afetada por lá foi o metrô, que comunicou sua infecção por meio do Twitter, como pode ser visto abaixo:
Друзі! Оплата банківÑÂÂÂÂÂькими картками наразі неможлива.
ХакерÑÂÂÂÂÂька атака. https://t.co/P6WoWORHlA— Kyiv Metro Alerts (@kyivmetroalerts) 27 de junho de 2017
Brasil
O Olhar Digital apurou que o Hospital do Câncer de Barretos, no interior de São Paulo, teve parte de seus sistemas desligados nesta terça por conta de um ataque hacker. A assessoria do hospital confirmou o caso, e de acordo com imagens enviadas por leitores, tudo indica que se trata do mesmo ransomware.
Disseminação
Fora da Ucrânia, a empresa dinamarquesa de logística Maersk também foi afetada. Ela comunicou o problema por meio do Twitter, indicando que seus sistemas de TI “caíram em múltiplos locais e unidades de negócios”, conforme pode se ver abaixo:
We can confirm that Maersk IT systems are down across multiple sites and business units. We are currently assessing the situation.
— Maersk (@Maersk) 27 de junho de 2017
O vírus também já chegou aos Estados Unidos, onde afetou os escritórios da empresa de direito DLA Piper. No Reino Unido, a maior empresa de propaganda do mundo, a WPP (proprietária de empresas como Ogilvy e Burston-Marsteller) também foi afetada. Em declaração à Reuters, a WPP afirmou que seus sistemas de TI “foram afetados pelo que suspeita-se ser um ciberataque”, e que “está avaliando a situação e tomando as medidas apropriadas”.
No Brasil, o Hospital de Câncer de Barretos emitiu um comunicado em seu Facebook alegando que “seu sistema foi afetado por uma invasão envolvendo hackers” na manhã de hoje. O ataque causou a interrupção de alguns dos atendimentos do Hospital. O Hospital São Jorge de Barretos, segundo um leitor, também teria sido afetado. O relato do hospital se assemelha ao de outras empresas afetadas, mas ainda há confirmação de que se trata exatamente do mesmo ataque.
Outra empresa que disse ter sido afetada foi a russa Rosnoft, uma espécie de “Petrobras da Rússia”. Ela comunicou que o vírus havia atingido seus servidores, mas ainda não estava claro quanto dano ele havia causado. O tweet da Rosnoft pode ser lido abaixo:
ÐÂÂÂÂÂа ÑÂÂÂÂÂерверы Компании оÑÂÂÂÂÂущеÑÂÂÂÂÂтвлена мощнаÑ хакерÑÂÂÂÂÂкаÑ атака. Мы надеемÑÂÂÂÂÂÑÂÂÂÂÂ, что ÑÂÂÂÂÂто никак не ÑÂÂÂÂÂвÑÂÂÂÂÂзано Ñ текущими ÑÂÂÂÂÂудебными процедурами.
— ПÐÂÂÂÂÂО «ÐÂÂÂÂÂК «Ð оÑÂÂÂÂÂнефть» (@RosneftRu) 27 de junho de 2017
Conforme noticiado pelo The Verge, usuários isolados na França e no Reino Unido também relataram ter sido infectados. Assim como o WannaCry, o ransomware criptografa os arquivos do HD da vítima e exige um pagamento em bitcoins para descriptografá-los. Segundo dados da cadeia de blocos, a conta associada aos atacantes já recebeu mais de um bitcoin (cerca de R$ 9.000).
Possível diagnóstico
Ainda não se sabe ao certo qual é exatamente o tipo de ransomware responsável por esse ataque. Um pesquisador da Kaspersky Lab identificou-o como o vírus Petrwrap, uma versão do ransmoware Petya que foi identificada pela primeira vez em março. Segundo a Avira, o Petrwrap está explorando a mesma vulnerabilidade de SMB do Windows que o WannaCry explorava para se espalhar. Os tweets de pesquisadores das duas empresas podem ser vistos abaixo:
The fast-spreading Petrwrap/Petya ransomware sample we have was compiled on June 18, 2017 according to its PE timestamp. pic.twitter.com/CHUYvsiQ08
— Costin Raiu (@craiu) 27 de junho de 2017
The #Petya #ransomware is back using the #EternalBlue exploit – and our #Antivirus customers are protected! #infosec pic.twitter.com/fWap1rRLeA
— Avira (@Avira) 27 de junho de 2017
O PetrWrap tem a característica de ser oferecido no modelo “Ransomware as a Service”, ou ransomware como serviço. Os desenvolvedores do vírus vendem-no para outros usuários que queiram usá-lo para tentar ganhar dinheiro. Os criadores ficam com cerca de 15% dos ganhos dos golpes, com até 85% ficando para os disseminadores, de acordo com a Avast.
Tanto o The Verge quanto o New York Times especulam que a origem do ataque possa ser a própria Rússia. O Times ressalta que os dois países seguem em conflito na região da Crimeia desde 2014, e que o país já foi vítima de um ciberataque russo que deixou parte do seu território sem energia por mais de seis horas.
No entanto, o governo da Ucrânia não parece estar desesperado com a situação. Recentemente, a conta oficial do país no Twitter recomendou que seus cidadãos não entrassem em pânico, tuitando o meme abaixo:
Some of our gov agencies, private firms were hit by a virus. No need to panic, we’re putting utmost efforts to tackle the issue 👌 pic.twitter.com/RsDnwZD5Oj
— Ukraine / Україна (@Ukraine) 27 de junho de 2017