{"id":9223,"date":"2017-07-07T03:29:27","date_gmt":"2017-07-07T00:29:27","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=9223"},"modified":"2020-05-20T17:07:22","modified_gmt":"2020-05-20T20:07:22","slug":"expetr-for-b2b","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/expetr-for-b2b\/9223\/","title":{"rendered":"Neg\u00f3cios na mira do ExPetr"},"content":{"rendered":"<p>Estamos testemunhando <a href=\"https:\/\/www.kaspersky.com.br\/blog\/new-ransomware-epidemics\/9204\/\" target=\"_blank\" rel=\"noopener\">o aparecimento de uma nova varia\u00e7\u00e3o de cryptomalware<\/a>. Nossos especialistas o batizaram de ExPetr (outros o chamam de Petya, PetrWrap e outros). \u00a0A principal diferen\u00e7a desse novo ransomware est\u00e1 no fato de que os criminosos escolheram o alvo com bastante precis\u00e3o: a maioria s\u00e3o empresas, n\u00e3o consumidores. O pior, infraestruturas cr\u00edticas est\u00e3o entre as v\u00edtimas. Por exemplo, alguns <a href=\"https:\/\/threatpost.com\/complex-petya-like-ransomware-outbreak-worse-than-wannacry\/126561\/\" target=\"_blank\" rel=\"noopener nofollow\">voos atrasaram no aeroporto de Boryspil em Kiev<\/a> por conta do ataque. Ainda pior \u2013 o sistema de monitoramento da infame <a href=\"http:\/\/edition.cnn.com\/2017\/06\/27\/europe\/chernobyl-cyber-attack\/index.html?iid=EL\" target=\"_blank\" rel=\"noopener nofollow\">usina de Chernobyl<\/a> parou temporariamente pelo mesmo motivo.<\/p>\n<p>Por que sistemas de infraestrutura cr\u00edtica continuam sendo atingidos por malware? Por estarem diretamente conectados com a rede corporativa ou possu\u00edrem acesso \u00e0 internet.<\/p>\n<h3><strong>O que fazer<\/strong><\/h3>\n<p>Assim como o <a href=\"https:\/\/www.kaspersky.com.br\/blog\/wannacry-for-b2b\/7324\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a>, temos nas m\u00e3os dois problemas distintos: a penetra\u00e7\u00e3o inicial do malware na infraestrutura da empresa e sua prolifera\u00e7\u00e3o interna. Esses dois problemas devem ser abordados separadamente.<\/p>\n<h3><strong>A invas\u00e3o<\/strong><\/h3>\n<p>Nossos especialistas apontam diversas rotas pelas quais o malware poderia ter entrado na rede. Em alguns casos, por meio de sites maliciosos (infec\u00e7\u00e3o drive-by); usu\u00e1rios recebem o malware disfar\u00e7ado de uma atualiza\u00e7\u00e3o no sistema. Em outros, a amea\u00e7a se espalhava como novas vers\u00f5es de softwares de terceiros \u2013 por exemplo, o M.E. Doc de contabilidade ucraniano. Em outras palavras, n\u00e3o h\u00e1 uma \u00fanica forma de prever que entrada proteger.<\/p>\n<p>Temos algumas recomenda\u00e7\u00f5es para assegurar a infraestrutura de malwares:<\/p>\n<ul>\n<li>Oriente seus funcion\u00e1rios a nunca abrir anexos suspeitos ou clicar em links recebidos por e-mail (parece \u00f3bvio, mas continua acontecendo);<\/li>\n<li>Garanta que todos os sistemas conectados \u00e0 internet est\u00e3o equipados com solu\u00e7\u00f5es de seguran\u00e7a atualizadas que incorporem an\u00e1lise comportamental de componentes.<\/li>\n<li>Verifique se todos os componentes criticamente importantes da solu\u00e7\u00e3o de seguran\u00e7a est\u00e3o habilitados (para produtos da Kaspersky Lab, garanta que a rede de assist\u00eancia de intelig\u00eancia de amea\u00e7as na nuvem esteja ativada, a <a href=\"https:\/\/www.kaspersky.com.br\/blog\/como-funciona-a-seguranca-em-nuvem-com-o-ksn\/5271\/\" target=\"_blank\" rel=\"noopener\">Kaspersky Security Network<\/a>. Fa\u00e7a o mesmo com o System Watcher).<\/li>\n<li>Atualize solu\u00e7\u00f5es de seguran\u00e7a regularmente.<\/li>\n<li>Empregue ferramentas para controlar e monitorar solu\u00e7\u00f5es de seguran\u00e7a de um \u00fanico dispositivo com permiss\u00f5es de administrador \u2013 n\u00e3o permita que funcion\u00e1rios brinquem com as configura\u00e7\u00f5es.<\/li>\n<\/ul>\n<p>Uma medida adicional de prote\u00e7\u00e3o (especialmente se voc\u00ea n\u00e3o estiver usando produtos da Kaspersky Lab), \u00e9 instalar nossa <a href=\"https:\/\/kas.pr\/ARTFo\" target=\"_blank\" rel=\"noopener\">ferramenta gratuita Anti-Ransomware<\/a>, compat\u00edvel com a maioria das solu\u00e7\u00f5es de seguran\u00e7a.<\/p>\n<h3><strong>Prolifera\u00e7\u00e3o dentro da rede<\/strong><\/h3>\n<p>Uma vez dentro de um \u00fanico dispositivo, o ExPetr \u00e9 muito melhor em se proliferar que o WannaCry. Isso ocorre por ter um n\u00famero maior de ferramentas com esse prop\u00f3sito. Primeiro, usa pelo menos dois exploits: um EternalBlue modificado (tamb\u00e9m usado pelo WannaCry) e o EternalRomance (outro exploit do TCP port 445). Segundo, quando um sistema \u00e9 infectado no qual o usu\u00e1rio possui privil\u00e9gios de administrador, come\u00e7a a se disseminar usando a tecnologia do Windows Management Instrumentation ou com a ferramenta de controle de sistema remoto o PsExec.<\/p>\n<p>Para prevenir que malwares se proliferem dentro da sua rede (especialmente dentro de infraestrutura cr\u00edtica), voc\u00ea deve:<\/p>\n<ul>\n<li>Isolar sistemas que requerem uma conex\u00e3o de internet ativa em um segmento separado da rede.<\/li>\n<li>Divida em subredes f\u00edsicas ou virtuais com conex\u00f5es restritas o resto da rede, conecte apenas sistemas que necessitam delas para processamento tecnol\u00f3gico.<\/li>\n<li>Veja os conselhos que nossos especialistas deram <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2017\/06\/22\/wannacry-on-industrial-networks\/\" target=\"_blank\" rel=\"noopener\">depois do evento com o WannaCry<\/a> (especialmente \u00fateis para ind\u00fastrias).<\/li>\n<li>Garanta que atualiza\u00e7\u00f5es cr\u00edticas de seguran\u00e7a do Windows sejam feitas a tempo. Particularmente importante nesse contexto, a<a href=\"https:\/\/www.kaspersky.com.br\/blog\/wannacry-windows-update\/9039\/\" target=\"_blank\" rel=\"noopener\"> MS17-070 corrige<\/a> as vulnerabilidades que permitem o EternalBlue e o EternalRomance;<\/li>\n<li>Isole os servidores de backup do resto da rede e desencoraje o uso de dispositivos remotos.<\/li>\n<li>Pro\u00edba execu\u00e7\u00e3o de um arquivo chamado <em>dat <\/em>usando o controle de aplica\u00e7\u00f5es da Kaspersky Endpoint Security for Business ou com o Windows AppLocker.<\/li>\n<li>Para infraestrutura contendo m\u00faltiplos sistemas embutidos, implante solu\u00e7\u00f5es especializadas como o Kaspersky Embedded Security Systems.<\/li>\n<li>Configure o modo de <em>Default Deny <\/em>e adicione medidas protetivas adicionais poss\u00edveis nos sistemas\u2013 por exemplo, em computadores utilit\u00e1rios que raramente s\u00e3o modificados. Isso pode ser feito com o componente de Controle de Aplica\u00e7\u00f5es do Kaspersky Endpoint Security for Business.<\/li>\n<\/ul>\n<p>Como sempre, recomendamos fortemente que implemente abordagem multicamadas, incorpore atualiza\u00e7\u00f5es autom\u00e1ticas de softwares (o que inclui o sistema operacional nesse caso), componentes antiransomware e que monitore todos os processos, dentro do SO.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/vzu20QttlJs?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<h3><strong>Pagar ou n\u00e3o pagar <\/strong><\/h3>\n<p>Finalmente, por mais que sempre recomendemos <a href=\"https:\/\/www.kaspersky.com.br\/blog\/no-no-ransom\/6712\/\" target=\"_blank\" rel=\"noopener\">n\u00e3o pagar o resgate<\/a>, entendemos que algumas empresas sentem n\u00e3o ter escolha. Contudo, se seus dados j\u00e1 foram infectados pelo ExPetr ransomware, voc\u00ea n\u00e3o deve pagar o resgate em hip\u00f3tese alguma.<\/p>\n<p>Nossos especialistas descobriram que esse malware n\u00e3o tem mecanismos para salvar o ID de instala\u00e7\u00e3o. Sem isso, o autor da amea\u00e7a n\u00e3o pode extrair as informa\u00e7\u00f5es necess\u00e1rias para realizar o desbloqueio. Em suma, eles simplesmente s\u00e3o incapazes de devolver suas informa\u00e7\u00f5es.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Conselhos pr\u00e1ticos de como prevenir a infec\u00e7\u00e3o e parar a dispers\u00e3o do Petya \/ NotPetya \/ ExPetr cryptomalware.<\/p>\n","protected":false},"author":700,"featured_media":9224,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1656],"tags":[1185,1201,1202,1199,1200,932,83,1155,807,1154],"class_list":{"0":"post-9223","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-smb","10":"tag-business","11":"tag-cryptomalware","12":"tag-epidemias","13":"tag-expetr","14":"tag-notpetya","15":"tag-petya","16":"tag-ransomware","17":"tag-surto","18":"tag-trojans","19":"tag-wannacry"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/expetr-for-b2b\/9223\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/expetr-for-b2b\/8718\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/expetr-for-b2b\/4736\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/expetr-for-b2b\/11726\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/expetr-for-b2b\/10752\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/expetr-for-b2b\/13617\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/expetr-for-b2b\/13654\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/expetr-for-b2b\/17896\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/expetr-for-b2b\/3342\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/expetr-for-b2b\/17343\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/expetr-for-b2b\/6994\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/expetr-for-b2b\/13798\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/expetr-for-b2b\/17329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/expetr-for-b2b\/17538\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9223","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=9223"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9223\/revisions"}],"predecessor-version":[{"id":15371,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/9223\/revisions\/15371"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/9224"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=9223"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=9223"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=9223"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}