Petya (família de malware)

(Redirecionado de Petya e NotPetya)

Petya é uma família de malware criptografado que foi descoberta pela primeira vez em 2016.[2] O malware tem como alvo sistemas baseados no Windows da Microsoft, infectando o registro mestre de inicialização para executar uma carga útil que criptografa a tabela do sistema de arquivos de um disco rígido e impede a inicialização do Windows. Posteriormente, exige que o usuário faça um pagamento em Bitcoin para recuperar o acesso ao sistema.

Petya
Petya (família de malware)
A arte ASCII de uma caveira e ossos cruzados é mostrada como parte da carga útil na versão original do Petya.[1]
Classificação Cavalo de Tróia
Tipo Malware
Subtipo Criptovírus
Sistema operacional afetado(s) Windows

Variantes do Petya foram vistas pela primeira vez em março de 2016, e se propagaram por meio de anexos de correspondências eletrônicas[a] infectados. Em junho de 2017, uma nova variante do Petya foi usada para um ataque cibernético global, visando principalmente a Ucrânia. A nova variante se propaga por meio da exploração[b] EternalBlue, que geralmente se acredita ter sido desenvolvido pela Agência de Segurança Nacional (A.S.N.)[c] dos Estados Unidos da América (E.U.A.), e foi usado no início do ano pelo ransomware WannaCry. A Kaspersky Lab referiu-se a esta nova versão como NotPetya para distingui-la das variantes de 2016, devido a estas diferenças de funcionamento. Parecia um ransomware, mas sem o recurso de recuperação funcional era equivalente a um limpador [en]. Os ataques NotPetya foram atribuídos ao governo russo, especificamente ao grupo de hackers Sandworm [en] dentro da organização de inteligência militar russa GRU, por pesquisadores de segurança, Google e vários governos.[2][3][4][5]

História editar

Petya foi descoberto em março de 2016;[6] A Check Point observou que embora tivesse alcançado menos infecções do que outros ransomware ativos no início de 2016, como o CryptoWall [en], continha diferenças notáveis na operação que fizeram com que fosse "imediatamente sinalizado como o próximo passo na evolução do ransomware".[1] Outra variante do Petya descoberta em maio de 2016 continha uma carga secundária usada se o malware não conseguisse obter acesso de nível de administrador.[6]

O nome "Petya" é uma referência ao filme GoldenEye de James Bond de 1995, em que Petya é um dos dois satélites de armas soviéticos que carregam um "Goldeneye" - uma bomba atômica detonada na órbita baixa da Terra para produzir um pulso eletromagnético. Uma conta do Twitter que a Heise [en] sugeriu que pode ter pertencido ao autor do malware, chamada "Janus Cybercrime Solutions" em homenagem ao grupo criminoso de Alec Trevelyan em GoldenEye, tinha um avatar com uma imagem do personagem de GoldenEye Boris Grishenko, um hacker russo e antagonista no filme interpretado pelo ator escocês Alan Cumming.[7]

Em 30 de agosto de 2018, um tribunal regional em Nikopol, na região de Dnipropetrovsk, na Ucrânia, condenou um cidadão ucraniano não identificado a um ano de prisão após se declarar culpado de ter espalhado uma versão do Petya online.[8][9][10]

Ataque cibernético de 2017 editar

 
Nota de resgate do NotPetya mostrada em um sistema comprometido

Em 27 de junho de 2017, teve início um grande ataque cibernético global (as empresas ucranianas foram das primeiras a declarar que estavam sendo atacadas[11]), utilizando uma nova variante do Petya. Naquele dia, a Kaspersky Lab relatou infecções em França, Alemanha, Itália, Polónia, Reino Unido e Estados Unidos, mas que a maioria das infecções teve como alvo a Rússia e a Ucrânia, onde mais de 80 empresas foram inicialmente atacadas, incluindo o Banco Nacional da Ucrânia [en].[11][12] A ESET estimou em 28 de junho de 2017 que 80% de todas as infecções ocorreram na Ucrânia, sendo a Alemanha a segunda mais atingida, com cerca de 9%.[13] O secretário de imprensa do presidente russo Vladimir Putin, Dmitry Peskov, afirmou que o ataque não causou danos graves na Rússia.[13] Os especialistas acreditam que este foi um ataque com motivação política contra a Ucrânia, uma vez que ocorreu na véspera do feriado ucraniano, Dia da Constituição.[14][15]

A Kaspersky apelidou esta variante de "NotPetya", pois apresenta grandes diferenças em suas operações em comparação com variantes anteriores.[11] O engenheiro da McAfee, Christiaan Beek, afirmou que esta variante foi projetada para se espalhar rapidamente e que tinha como alvo "companhias de energia completas, rede elétrica, estações de ônibus, postos de gasolina, aeroporto e bancos".[11][16]

Acreditava-se que o mecanismo de atualização de software [en] do M.E.Doc [uk] – um programa ucraniano de preparação de impostos que, segundo Mikko Hyppönen [en], analista da F-Secure [en], “parece ser de fato” entre as empresas que fazem negócios no país – havia sido comprometido para espalhar o malware.[13][17][18] A análise da ESET descobriu que um backdoor estava presente no sistema de atualização por pelo menos seis semanas antes do ataque, descrevendo-o como uma "operação cuidadosamente bem planejada e bem executada".[19] Os desenvolvedores do M.E.Doc negaram que fossem inteiramente responsáveis pelo ataque cibernético, afirmando que também foram vítimas.[17][20][21][22]

Em 4 de julho de 2017, a unidade de crimes cibernéticos da Ucrânia apreendeu os servidores da empresa após detectar "novas atividades" que acreditava que resultariam na "proliferação descontrolada" de malware. A polícia ucraniana aconselhou os usuários do M.E.Doc a pararem de usar o software, pois presumia que o backdoor ainda estava presente.[19][23] A análise dos servidores apreendidos revelou que as atualizações de software não eram aplicadas desde 2013, havia provas da presença russa e a conta de um funcionário nos servidores tinha sido comprometida; o chefe das unidades alertou que o M.E.Doc poderia ser considerado criminalmente responsável por possibilitar o ataque devido à sua negligência em manter a segurança de seus servidores.[19][22][24]

Operação editar

A carga útil do Petya infecta o registro de inicialização mestre (R.I.M.)[d] do computador, sobrescreve o carregador de inicialização do Windows e aciona uma reinicialização. Na inicialização, a carga útil criptografa a tabela de arquivos mestre (M.F.T.)[e] do sistema de arquivos NTFS e, em seguida, mostra a mensagem de resgate exigindo um pagamento feito em Bitcoin.[6][25][26] Enquanto isso, a tela do computador mostra uma saída supostamente do chkdsk, o varredor[f] do sistema de arquivos do Windows, sugerindo que os setores do disco rígido estão sendo reparados.[1]

A carga útil original exigia que o usuário concedesse privilégios administrativos; uma variante do Petya foi fornecida com uma segunda carga útil, Mischa, que era ativada se o Petya falhasse na instalação. A Mischa é uma carga útil de ransomware mais convencional que criptografa documentos do usuário, bem como arquivos executáveis, e não requer privilégios administrativos para ser executada.[6] As versões anteriores do Petya disfarçavam sua carga como um arquivo de Formato de documento portátil (P.D.F.)[g], anexado a uma correspondência eletrônica[a].[6] A Equipe de resposta a emergências informáticas dos Estados Unidos (U.S.-C.E.R.T.)[h] e o Centro nacional de segurança cibernética e integração de comunicações (N.C.C.I.C.)[i] divulgaram o relatório de descobertas iniciais de malware (M.I.F.R.)[j] sobre Petya em 30 de junho de 2017.[27]

A variante "NotPetya" usada no ataque de 2017 usa a EternalBlue, uma exploração[b] que tira vantagem de uma vulnerabilidade no protocolo Bloco de mensagens de servidor (S.M.B.)[k] do Windows. Acredita-se que a EternalBlue tenha sido desenvolvida pela Agência de Segurança Nacional dos E.U.A. (A.S.N.)[c];[26] ela vazou em abril de 2017 e também foi usada pelo WannaCry.[26][28] O malware coleta senhas (usando uma versão aprimorada da Mimikatz [en][29] de código aberto) e usa outras técnicas para se espalhar [en] para outros computadores na mesma rede, e usa essas senhas em conjunto com o PSExec para executar código em outros computadores locais.[30][31][32] Além disso, embora ainda pareça ser um ransomware, a rotina de criptografia foi modificada para que o malware não pudesse reverter tecnicamente suas alterações.[33] Esta característica, juntamente com outros sinais incomuns em comparação com o WannaCry (incluindo a taxa de desbloqueio relativamente baixa de US$ 300, e o uso de uma única carteira Bitcoin fixa para coletar pagamentos de resgate em vez de gerar uma ID exclusiva para cada infecção específica para fins de rastreamento),[34] levou os pesquisadores a especularem que esse ataque não tinha a intenção de ser um empreendimento gerador de lucro, mas de danificar dispositivos rapidamente e desviar a atenção da mídia que o WannaCry recebeu ao alegar ser um ransomware.[35][36]

Mitigação editar

Descobriu-se que pode ser possível interromper o processo de criptografia se um computador infectado for desligado imediatamente quando a tela fictícia do chkdsk aparecer,[37] e um analista de segurança propôs que a criação de arquivos somente de leitura chamados perfc e/ou perfc.dat no diretório de instalação do Windows pode impedir a execução da carga útil da tensão atual.[38][39][40][41] O endereço de correio eletrônico[a] listado na tela de resgate foi suspenso por seu provedor, Posteo, por violar seus termos de uso [en]. Como resultado, os usuários infectados não conseguiram enviar a confirmação de pagamento necessária ao perpetrador.[34][42] Além disso, se o sistema de arquivos do computador fosse baseado em Tabela de alicação de arquivos (F.A.T.)[l], a sequência de criptografia da tabela de arquivos mestre[e] era ignorada e apenas a mensagem do ransomware era mostrada, permitindo que os dados fossem recuperados de maneira trivial.[43]

A Microsoft já havia lançado correções[m] para versões suportadas do Windows em março de 2017 para resolver a vulnerabilidade EternalBlue. Isto foi seguido por correções[m] para as versões do Windows que não são mais suportadas (como o Windows XP) em maio de 2017, logo após o WannaCry.[44][45] A Wired acredita que "com base na extensão dos danos que a Petya causou até agora, parece que muitas empresas adiaram a correção, apesar da ameaça clara e potencialmente devastadora de uma propagação de ransomware semelhante."[46] Algumas empresas podem considerar isso muito perturbador para instalar atualizações em determinados sistemas, seja devido a possíveis tempos de inatividade ou problemas de compatibilidade, o que pode ser problemático em alguns ambientes.[44]

Impacto editar

Num relatório publicado pela Wired, uma avaliação da Casa Branca estimou os danos totais provocados pela NotPetya em mais de 10 bilhões de dólares. Esta avaliação foi repetida pelo antigo conselheiro de Segurança Interna, Tom Bossert, que na altura do ataque era o funcionário mais graduado do governo dos E.U.A. com foco em segurança cibernética.[47]

Durante o ataque iniciado em 27 de junho de 2017, o sistema de monitorização da radiação na Central nuclear de Chernobyl, na Ucrânia, ficou offline.[48] Vários ministérios, bancos e sistemas de metrô ucranianos também foram afetados.[49] Diz-se que foi o ataque cibernético mais destrutivo de todos os tempos.[50]

Entre os afetados em outros lugares estavam a empresa de publicidade britânica WPP,[49] a Maersk Line,[51] a empresa farmacêutica americana Merck & Co. (fazendo negócios internacionalmente como MSD), a empresa petrolífera russa Rosneft (sua produção de petróleo não foi afetada[52]), o escritório de advocacia multinacional DLA Piper [en],[49] a empresa de construção francesa Saint-Gobain e suas lojas de varejo e subsidiárias na Estônia,[53] a empresa britânica de bens de consumo Reckitt Benckiser,[54] a empresa alemã de cuidados pessoais Beiersdorf, a empresa de logística alemã DHL,[55] a empresa de alimentos dos Estados Unidos Mondelēz International e a operadora hospitalar americana Heritage Valley Health System.[11][56] A Fábrica de chocolates de Cadbury [en] em Hobart, Tasmânia, é a primeira empresa na Austrália a ser afetada pela Petya.[57] Em 28 de junho de 2017, o J.N.P.T. [en], o maior porto de contêiner da Índia, teria sido afetado, tendo todas as operações sido paralisadas.[58] O Hospital comunitário de Princeton, na zona rural da Virgínia Ocidental, irá desmantelar e substituir toda a sua rede de computadores no caminho da recuperação.[59]

A interrupção dos negócios da Maersk, a maior operadora mundial de navios porta-contêineres e navios de abastecimento, foi estimada entre 200 milhões de dólares e 300 milhões de dólares em receitas perdidas.[47][60]

O impacto comercial na FedEx é estimado em 400 milhões de dólares em 2018, de acordo com o relatório anual de 2019 da empresa.[61]

Jens Stoltenberg, Secretário-geral da O.T.A.N., pressionou a aliança a reforçar as suas defesas cibernéticas, dizendo que um ataque cibernético poderia desencadear o princípio de defesa colectiva do Artigo 5.[62][63]

A seguradora da Mondelēz International, Zurich American Insurance Company, recusou-se a pagar um pedido de limpeza de danos causados por uma infecção por Notpetya, alegando que a Notpetya é um "ato de guerra" que não é coberto pela apólice. A Mondelēz processou a Zurich American em 100 milhões de dólares em 2018;[64] o processo foi resolvido em 2022, com os termos do acordo permanecendo confidenciais.[65]

Reação editar

A Europol afirmou estar ciente e responder urgentemente a relatos de um ataque cibernético em estados membros da União Europeia.[12] O Departamento de Segurança Interna dos Estados Unidos esteve envolvido e em coordenação com os seus parceiros internacionais e locais.[51] Numa carta à N.S.A.,[66] o congressista democrata Ted Lieu [en] pediu à agência que colaborasse mais ativamente com as empresas de tecnologia para notificá-las sobre vulnerabilidades de software e ajudá-las a prevenir futuros ataques baseados em malware criado pela N.S.A..[32][67] Em 15 de fevereiro de 2018, a administração Trump culpou a Rússia pelo ataque e alertou que haveria "consequências internacionais".[68] O Reino Unido e o governo australiano também emitiram declarações semelhantes.[69]

Em outubro de 2020, o DOJ nomeou mais oficiais do GRU numa acusação.[70] Ao mesmo tempo, o governo do Reino Unido culpou o Sandworm do GRU também pelos ataques aos Jogos Olímpicos de Verão de 2020.[71]

Outros malwares de baixo nível notáveis editar

Ver também editar

Notas editar

  1. a b c do inglês e-mail
  2. a b do inglês exploit
  3. a b do inglês N.S.A.National Security Agency
  4. do inglês M.B.R.master boot record
  5. a b do inglês master file table
  6. do inglês scanner
  7. do inglês portable document format
  8. do inglês United States Computer Emergency Response Team
  9. do inglês National Cybersecurity and Communications Integration Center
  10. do inglês malware initial findings report
  11. a b do inglês server message block
  12. do inglês file allocation table
  13. a b do inglês patch

Referências

  1. a b c «Decrypting the Petya ransomware» [Descriptografando o ransomware Petya]. Blogue da Check Point (em inglês). 11 de abril de 2016. Consultado em 27 de junho de 2017. Cópia arquivada em 30 de junho de 2017 
  2. a b Greenberg, Andy (22 de agosto de 2018). «The untold story of NotPetya, the most devastating cyberattack in History» [A história não contada do NotPetya, o ataque cibernético mais devastador da história]. Wired (em inglês). Consultado em 27 de agosto de 2018. Cópia arquivada em 27 de agosto de 2018 
  3. Greerberg, Andy (21 de novembro de 2019). «Russia's 'Sandworm' hackers also targeted Android phones» [Hackers do "Sandworm" da Rússia também têm como alvo telefones Android]. Wired (em inglês). ISSN 1059-1028. Consultado em 26 de março de 2020. Cópia arquivada em 26 de março de 2020 
  4. Kovacs, Edouard (18 de fevereiro de 1620). «U.S., Canada, Australia attribute NotPetya attack to Russia» [E.U.A., Canadá e Austrália atribuem ataque de NotPetya à Rússia]. www.securityweek.com (em inglês). Consultado em 26 de março de 2020. Cópia arquivada em 26 de março de 2020 
  5. Gidwani, Toni (26 de março de 2020). «Identifying vulnerabilities and protecting you from phishing» [Identificando vulnerabilidades e protegendo você de phishing]. Google (em inglês). Consultado em 26 de março de 2020. Cópia arquivada em 26 de março de 2020 
  6. a b c d e Constantin, Lucian (13 de maio de 2016). «Petya ransomware is now double the trouble» [Ransomware Petya agora é o dobro do problema]. NetworkWorld (em inglês). Consultado em 27 de junho de 2017. Cópia arquivada em 31 de julho de 2017 
  7. Scherschel, Fabian A. (15 de dezembro de 2016). «Petya, Mischa, Goldeneye: Die erpresser sind nerds» [Petya, Mischa, Goldeneye: os chantagistas são nerds] (em alemão). Heise Online [en]. Consultado em 3 de julho de 2017. Cópia arquivada em 22 de setembro de 2017. Die Virenschreiber hinter diesen Erpressungstrojanern scheinen große Fans des Films zu sein. Wahrscheinlich sind sie in den Neunzigern aufgewachsen und identifizieren sich mit Boris Grishenko, dem russischen Hacker-Genie aus dem Film. Ob ein Twitter-Konto, welches genau auf dieses Profil passt, ein Bild von Boris Grishenko als Avatar nutzt und nach dem Verbrechersyndikat aus dem Film benannt ist, von den Drahtziehern betrieben wird, konnten wir nicht bestätigen. Aber es ist immerhin denkbar." – "Os criadores de vírus por trás desses cavalos de Tróia chantagistas parecem ser grandes fãs do filme. Eles provavelmente cresceram na década de 1990 e se identificam com Boris Grishenko, o gênio hacker russo do filme. Não foi possível confirmar se uma conta do Twitter que corresponde exatamente a esse perfil, usa uma foto de Boris Grishenko como avatar e leva o nome do sindicato do crime do filme, é operada pelos mentores. Mas é pelo menos concebível. 
  8. Iliyeva, Valery (7 de agosto de 2017). «На Дніпропетровщині викрили чоловіка, який розповсюджував вірус "Petya.A"» [Na região de Dnipropetrovsk, um homem que espalhou o vírus "Petya.A" foi exposto]. Dniprograd (em ucraniano). Consultado em 7 de setembro de 2018. Cópia arquivada em 7 de setembro de 2018 
  9. Muracha, Ivan (3 de setembro de 2018). «Регіональний "координатор" вірусу РЕТYА на Дніпропетровщині отримав один рік тюрми» [O "coordenador" regional do vírus PETYA na região de Dnipropetrovsk recebeu um ano de prisão]. Dniprograd (em ucraniano). Consultado em 7 de setembro de 2018. Cópia arquivada em 7 de setembro de 2018 
  10. «Оголошено вирок у справі за фактами масштабних кібератак вірусу "PETYA"» [O veredicto foi anunciado no caso com base nos fatos de ataques cibernéticos em grande escala do vírus "PETYA"]. Judiciário da Ucrânia. 31 de agosto de 2018. Consultado em 7 de agosto de 2018. Cópia arquivada em 7 de setembro de 2018 
  11. a b c d e «Global ransomware attack causes chaos» [Ataque global de ransomware causa caos]. BBC News (em inglês). 27 de junho de 2017. Consultado em 27 de junho de 2017. Cópia arquivada em 27 de junho de 2017 
  12. a b Turner, Giles; Verbyany, Volodymyr; Kravchenko, Stepan (27 de junho de 2017). «New cyberattack goes global, hits WPP, Rosneft, Maersk» [Novo ataque cibernético se torna global e atinge WPP, Rosneft, Maersk]. Bloomberg (em inglês). Consultado em 27 de junho de 2017. Cópia arquivada em 5 de novembro de 2019 
  13. a b c Wakefield, Jane (28 de junho de 2017). «Tax software blamed for cyber-attack spread» [Software fiscal responsabilizado pela propagação de ataques cibernéticos]. BBC News (em inglês). Consultado em 28 de junho de 2017. Cópia arquivada em 28 de junho de 2017 
  14. Perlroth, Nicole; Scott, Mark; Frenkel, Sheera (27 de junho de 2017). «Cyberattack hits Ukraine then spreads internationally» [Ataque cibernético atinge a Ucrânia e depois se espalha internacionalmente]. The New York Times (em inglês). ProQuest 1913883917. Consultado em 24 de março de 2023. Cópia arquivada em 13 de abril de 2018. (pede subscrição (ajuda)) 
  15. Lee, David (28 de junho de 2017). «'Vaccine' created for huge cyber-attack» ["Vacina" criada para grande ataque cibernético]. BBC News (em inglês). Consultado em 28 de junho de 2017. Cópia arquivada em 28 de junho de 2017 
  16. Burgess, Matt. «There's another 'worldwide' ransomware attack and it's spreading quickly» [Há outro ataque de ransomware "mundial" e está se espalhando rapidamente]. Wired UK (em inglês). Consultado em 27 de junho de 2017. Cópia arquivada em 31 de dezembro de 2017 
  17. a b Turner, Giles; Al Ali, Nour (28 de junho de 2017). «Microsoft, analysts see hack origin at Ukrainian software firm» [Microsoft, analistas veem origem de hack em empresa de software ucraniana] (em inglês). Bloomberg. Consultado em 1 de julho de 2017. Cópia arquivada em 28 de junho de 2017. (pede subscrição (ajuda)) 
  18. Stubbs, Jack; Polityuk, Pavel (3 de julho de 2017). «Family firm in Ukraine says it was not responsible for cyber attack» [Empresa familiar na Ucrânia afirma não ter sido responsável pelo ataque cibernético]. Reuters (em inglês). Consultado em 5 de julho de 2017. Cópia arquivada em 4 de julho de 2017 
  19. a b c Hern, Alex (5 de julho de 2017). «Hackers who targeted Ukraine clean out bitcoin ransom wallet» [Hackers que atacaram a Ucrânia limpam carteira de resgate de bitcoin]. The Guardian (em inglês). ISSN 0261-3077. Consultado em 10 de julho de 2017. Cópia arquivada em 10 de julho de 2017 
  20. Goodin, Dan (27 de junho de 2017). «A new ransomware outbreak similar to WCry is shutting down computers worldwide» [Um novo surto de ransomware semelhante ao WCry está desligando computadores em todo o mundo]. Ars Technica (em inglês). Consultado em 1 de julho de 2017. Cópia arquivada em 30 de junho de 2017 
  21. Frenkel, Sheera (27 de junho de 2017). «Global ransomware attack: What we know and don't know» [Ataque global de ransomware: o que sabemos e o que não sabemos]. The New York Times (em inglês). ProQuest 1914424259. Consultado em 28 de junho de 2017. Cópia arquivada em 27 de junho de 2017. (pede subscrição (ajuda)) 
  22. a b «Ukrainian software company will face charges over cyber attack, police suggest» [Empresa de software ucraniana enfrentará acusações por ataque cibernético, sugere polícia]. ABC News Australia [en] (em inglês). AP. 3 de julho de 2017. Consultado em 10 de julho de 2017. Cópia arquivada em 10 de julho de 2017 
  23. Goodin, Dan (5 de julho de 2017). «Backdoor built in to widely used tax app seeded last week's NotPetya outbreak» [Backdoor integrado ao aplicativo fiscal amplamente utilizado, propagado pelo surto de NotPetya da semana passada]. Ars Technica (em inglês). Consultado em 10 de julho de 2017. Cópia arquivada em 8 de julho de 2017 
  24. Stubbs, Jack; Williams, Matthias (5 de julho de 2017). «Ukraine scrambles to contain new cyber threat after 'NotPetya' attack» [Ucrânia luta para conter nova ameaça cibernética após ataque de "NotPetya"]. Reuters (em inglês). Consultado em 7 de julho de 2017. Cópia arquivada em 7 de julho de 2017 
  25. «New ransomware outbreak» [Novo surto de ransomware]. Blogue da Kaspersky. Kaspersky Lab. Consultado em 27 de junho de 2017. Cópia arquivada em 27 de junho de 2017 
  26. a b c Brandom, Russell (27 de junho de 2017). «A new ransomware attack is hitting airlines, banks and utilities across Europe» [Um novo ataque de ransomware está a atingir companhias aéreas, bancos e empresas de serviços públicos em toda a Europa]. The Verge. Consultado em 27 de junho de 2017. Cópia arquivada em 2 de julho de 2017 
  27. «MIFR-10130295» [Relatório de descobertas iniciais de malware (M.I.F.R.)-10130295] (PDF). Equipe de resposta a emergências informáticas dos Estados Unidos. 30 de junho de 2017. Consultado em 22 de julho de 2017. Cópia arquivada (PDF) em 15 de agosto de 2017 
  28. Goddin, Dan (14 de abril de 2017). «NSA-leaking Shadow Brokers just dumped its most damaging release yet» [Vazamento da N.S.A., Shadow Brokers acaba de lançar seu lançamento mais prejudicial até agora]. Ars Technica. 1 páginas. Consultado em 13 de maio de 2017. Cópia arquivada em 13 de maio de 2017 
  29. Thomson, Iain (28 de junho de 2017). «Everything you need to know about the Petya, er, NotPetya nasty trashing PCs worldwide» [Tudo o que você precisa saber sobre o Petya, ou NotPetya, que destrói PCs no mundo todo]. The Register (em inglês). San Francisco. Consultado em 31 de julho de 2019. Cópia arquivada em 12 de julho de 2019 
  30. «India worst hit by Petya in APAC, 7th globally: Symantec» [Índia é mais atingida por Petya na APAC, 7ª no mundo: Symantec]. The Economic Times. 29 de junho de 2017. Consultado em 29 de junho de 2017. Cópia arquivada em 29 de junho de 2017 
  31. Cimpanu, Catalin (27 de junho de 2017). «Petya ransomware outbreak originated in Ukraine via tainted accounting software» [Surto de ransomware Petya originado na Ucrânia por meio de software de contabilidade contaminado] (em inglês). BleepingComputer. Consultado em 29 de junho de 2017. Cópia arquivada em 28 de junho de 2017 
  32. a b Hatmaker, Taylor (28 de junho de 2017). «In aftermath of Petya, congressman asks NSA to stop the attack if it knows how» [Após Petya, congressista pede à N.S.A. que pare o ataque se souber como]. TechCrunch (em inglês). Consultado em 29 de junho de 2017. Cópia arquivada em 29 de junho de 2017 
  33. Suiche, Matt (28 de junho de 2017). «Petya.2017 is a wiper not a ransomware» [Petya.2017 é um limpador, não um ransomware]. Comae Technologies. Consultado em 29 de junho de 2017. Arquivado do original em 28 de junho de 2017 
  34. a b Brandom, Russell (27 de junho de 2017). «It's already too late for today's ransomware victims to pay up and save their computers» [Já é tarde demais para as vítimas de ransomware de hoje pagarem e salvarem seus computadores]. The Verge. Consultado em 28 de junho de 2017. Cópia arquivada em 27 de junho de 2017 
  35. Goodin, Dan (28 de junho de 2017). «Tuesday's massive ransomware outbreak was, in fact, something much worse» [O enorme surto de ransomware de terça-feira foi, na verdade, algo muito pior]. Ars Technica (em inglês). Consultado em 28 de junho de 2017. Cópia arquivada em 17 de julho de 2017 
  36. «Cyber-attack was about data and not money, say experts» [O ataque cibernético envolveu dados e não dinheiro, dizem especialistas]. BBC News (em inglês). 29 de junho de 2017. Consultado em 29 de junho de 2017. Cópia arquivada em 29 de junho de 2017 
  37. Solon, Olivia; Hern, Alex (28 de junho de 2017). «'Petya' ransomware attack: what is it and how can it be stopped?» [Ataque de ransomware "Petya": o que é e como pode ser interrompido?]. The Guardian (em inglês). Consultado em 29 de junho de 2017. Cópia arquivada em 30 de maio de 2019 
  38. Cimpanu, Catalin (27 de junho de 2017). «Vaccine, not killswitch, found for Petya (NotPetya) ransomware outbreak» [Vacina, e não killswitch, encontrada para surto de ransomware Petya (NotPetya)]. Bleeping Computer (em inglês). Consultado em 29 de junho de 2017. Cópia arquivada em 13 de julho de 2017 
  39. Rogers, James (28 de junho de 2017). «Petya ransomware: Experts tout 'vaccine' to protect computers from crippling cyber attack» [Ransomware Petya: Especialistas apregoam "vacina" para proteger computadores contra ataques cibernéticos paralisantes]. Fox News (em inglês). Consultado em 29 de junho de 2017. Cópia arquivada em 28 de junho de 2017 
  40. McGoogan, Cara (28 de junho de 2017). «Security researcher creates 'vaccine' against ransomware attack» [Pesquisador de segurança cria "vacina" contra ataque de ransomware]. The Telegraph (em inglês). Consultado em 29 de junho de 2017. Cópia arquivada em 28 de junho de 2017 
  41. Lee, Dave (28 de junho de 2017). «'Vaccine' created for huge cyber-attack» ["Vacina" criada para grande ataque cibernético]. BBC News (em inglês). Consultado em 29 de junho de 2017. Cópia arquivada em 28 de junho de 2017 
  42. @mikko (28 de junho de 2017). «Victims keep sending money to Petya, but will not get their files back: No way to contact the attackers, as their email address was killed.» [As vítimas continuam enviando dinheiro para Petya, mas não recebem seus arquivos de volta: Não há como entrar em contato com os invasores, pois seu endereço de e-mail foi eliminado.] (Tweet) (em inglês) – via Twitter 
  43. «Analyzed: Internet propagation and recovery of non-NTFS victims» [Analisado: Recuperação e propagação na Internet de vítimas que não são NTFS]. Alert Logic (em inglês). Fortra. 26 de julho de 2017. Consultado em 20 de julho de 2020. Cópia arquivada em 20 de julho de 2020 
  44. a b Whittaker, Zack (27 de junho de 2017). «Six quick facts to know about today's global ransomware attack» [Seis fatos rápidos para saber sobre o atual ataque global de ransomware]. ZDNet (em inglês). Consultado em 29 de junho de 2017. Cópia arquivada em 29 de junho de 2017 
  45. Warren, Tom (13 de maio de 2017). «Microsoft issues 'highly unusual' Windows XP patch to prevent massive ransomware attack» [Microsoft lança correção "altamente incomum" do Windows XP para evitar ataque massivo de ransomware]. The Verge (em inglês). Vox Media. Consultado em 13 de maio de 2017. Cópia arquivada em 14 de maio de 2017 
  46. Newman, Lily Hay (27 de junho de 2017). «A scary new ransomware outbreak uses WannaCry's old tricks» [Um novo e assustador surto de ransomware usa velhos truques do WannaCry]. Wired (em inglês). Consultado em 29 de junho de 2017. Cópia arquivada em 27 de junho de 2017 
  47. a b Greenburg, Andy (22 de agosto de 2018). «The untold story of NotPetya, the most devastating cyberattack in history» [A história não contada da NotPetya, o ataque cibernético mais devastador da história]. Wired (em inglês). Consultado em 1 de setembro de 2018. Cópia arquivada em 22 de agosto de 2018 
  48. Griffin, Andrew (27 de junho de 2017). «Chernobyl's radiation monitoring system has been hit by the worldwide cyber attack» [O sistema de monitoramento de radiação de Chernobyl foi atingido pelo ataque cibernético mundial]. The Independent (em inglês). Consultado em 27 de junho de 2017. Cópia arquivada em 26 de maio de 2022. (pede subscrição (ajuda)) 
  49. a b c Scott, Mark; Perlroth, Nicole (27 de junho de 2017). «New cyberattack spreads in Europe, Russia and U.S.» [Novo ataque cibernético se espalha na Europa, na Rússia e nos E.U.A.]. The New York Times (em inglês). ISSN 0362-4331. Consultado em 27 de junho de 2017. Cópia arquivada em 13 de abril de 2018 
  50. Ng, Alfred (15 de fevereiro de 2018). «US, UK say Russia behind 'most destructive' cyberattack ever» [E.U.A. e Reino Unido afirmam que a Rússia está por trás do ataque cibernético "mais destrutivo" de todos os tempos]. CNET (em inglês). Consultado em 24 de março de 2023. Cópia arquivada em 7 de julho de 2022 
  51. a b Chappell, Bill; Dwyer, Colin (27 de junho de 2017). «'Petya' cyberattack cripples Ukraine, and experts say it's spreading globally» [Ataque cibernético "Petya" paralisa a Ucrânia e especialistas dizem que está se espalhando globalmente]. The two way. NPR. Consultado em 27 de junho de 2017. Cópia arquivada em 27 de junho de 2017 
  52. «Russia's Rosneft says hit by cyber attack, oil production unaffected» [Rosneft da Rússia afirma que atingida por ataque cibernético, produção de petróleo não foi afetada]. Reuters (em inglês). 27 de junho de 2017. Consultado em 28 de junho de 2017. Cópia arquivada em 27 de junho de 2017 
  53. Ruuda, Lennart (28 de junho de 2017). «Ehituse ABC sulges küberrünnaku tõttu kõik oma poed» [Ehituse ABC fechou todas as suas lojas por causa de ataque cibernético]. Postimees (em estónio). Consultado em 28 de junho de 2017. Cópia arquivada em 28 de junho de 2017 
  54. Yeomans, Jon (6 de julho de 2017). «Dettol maker Reckitt Benckiser warns revenue will be hit as it cleans up Petya cyber attack» [Rekitt Benckiser, fabricante do Dettol, alerta que a receita será afetada ao limpar o ataque cibernético de Petya]. The Telegraph (em inglês). Consultado em 9 de julho de 2017. Cópia arquivada em 8 de julho de 2017 
  55. «Hackerangriff: Beiersdorf & Co hart getroffen» [Ataque de hackers: Beiersdorf e outras empresas gravemente afetadas]. ARD. 6 de julho de 2017. Consultado em 9 de julho de 2017. Cópia arquivada em 6 de julho de 2017 
  56. Henley, Jon; Solon, Olivia (27 de junho de 2017). «'Petya' ransomware attack strikes companies across Europe and US» [Ataque de ransomware "Petya" atinge empresas na Europa e nos E.U.A.]. The Guardian (em inglês). ISSN 0261-3077. Consultado em 27 de junho de 2017. Cópia arquivada em 1 de maio de 2021 
  57. «Petya cyberattack: Hobart's Cadbury chocolate factory struck» [Ataque cibernético Petya: Fábrica de chocolate de Cadbury de Hobart atingida]. The Australian (em inglês). Consultado em 28 de junho de 2017. (pede subscrição (ajuda)) 
  58. «New malware hits JNPT operations as APM Terminals hacked globally» [Novo malware atinge operações do JNPT enquanto terminais APM são hackeados globalmente]. The Indian Express (em inglês). 27 de junho de 2017. Consultado em 28 de junho de 2017. Cópia arquivada em 1 de julho de 2017 
  59. Evans, Melanie (30 de junho de 2017). «Business news: Hospital is forced to scrap computers» [Notícias de negócios: Hospital é obrigado a sucatear computadores]. The Wall Street Journal (em inglês). Consultado em 2 de julho de 2017. Cópia arquivada em 2 de julho de 2017. (pede subscrição (ajuda)) 
  60. Palmer, Danny (16 de agosto de 2017). «Petya ransomware: Cyberattack costs could hit $300m for shipping giant Maersk» [Ransomware Petya: Custos de ataque cibernético podem chegar a 300 milhões para a gigante de navegação Maersk]. ZDNet [en] (em inglês). Consultado em 18 de fevereiro de 2018. Cópia arquivada em 17 de fevereiro de 2018 
  61. 2019 annual report [Relatório anual de 2019] (PDF) (Relatório) (em inglês). FedEx Corporation. p. 67. Consultado em 24 de março de 2023. Cópia arquivada (PDF) em 2 de julho de 2021. Comparables for 2019 are affected by the impact of the NotPetya cyberattack, which reduced earnings in 2018 by approximately $400 million" – "Os dados comparáveis de 2019 são afetados pelo impacto do ataque cibernético NotPetya, que reduziu os lucros em 2018 em aproximadamente 400 milhões de dólares 
  62. Uchill, Joe (28 de junho de 2017). «Overnight cybersecurity: New questions about 'ransomware' attack — Tensions between NSA chief, Trump over Russia—Senate panel asks states to publicize election hacks» [Segurança cibernética da noite para o dia: Novas questões sobre ataque de "ransomware" — Tensões entre o chefe da N.S.A. e Trump sobre a Rússia — painel do Senado pede aos estados que divulguem hacks eleitorais]. The Hill [en] (em inglês). Consultado em 29 de junho de 2017. Cópia arquivada em 30 de junho de 2017 
  63. «NATO warns use of Article 5 over cyber attack, members pledge spending increase» [O.T.A.N. alerta sobre uso do Artigo 5 sobre ataques cibernéticos, membros prometem aumento de gastos]. Haaretz (em inglês). Reuters. 28 de junho de 2017. Consultado em 24 de março de 2023. Cópia arquivada em 24 de março de 2023 
  64. McCarthy, Kieran (11 de janeiro de 2019). «Cyber-insurance shock: Zurich refuses to foot NotPetya ransomware clean-up bill—and claims it's 'an act of war'» [Choque no seguro cibernético: Zurique se recusa a pagar a conta de limpeza do ransomware NotPetya - e afirma que é "um ato de guerra"]. The Register (em inglês). Consultado em 2 de fevereiro de 2019. Cópia arquivada em 2 de fevereiro de 2019 
  65. Jones, David (8 de novembro de 2022). «Mondelēz settlement in NotPetya case renews concerns about cyber insurance coverage» [Acordo da Mondelēz no caso NotPetya renova preocupações sobre cobertura de seguro cibernético]. Cybersecurity Dive (em inglês). Consultado em 24 de março de 2023. Cópia arquivada em 21 de janeiro de 2023 
  66. Lieu, Ted. «Letter to NSA director» [Carta ao diretor da N.S.A.] (PDF) (em inglês). House. Consultado em 29 de junho de 2017. Cópia arquivada (PDF) em 6 de julho de 2017 
  67. Auchard, Eric; Stubbs, Jack; Prentice, Alessandra (27 de junho de 2017). «New computer virus spreads from Ukraine to disrupt world business» [Novo vírus de computador se espalha da Ucrânia para atrapalhar os negócios mundiais]. Reuters (em inglês). Consultado em 24 de março de 2023. Cópia arquivada em 28 de junho de 2017 
  68. Chalfant, Morgan (15 de fevereiro de 2018). «Trump admin blames Russia for massive global cyberattack» [Administrador de Trump culpa a Rússia por ataque cibernético global massivo]. The Hill (em inglês). Consultado em 24 de março de 2023. Cópia arquivada em 6 de outubro de 2022 
  69. Shaikh, Rafia (16 de fevereiro de 2018). «US, UK, Australia warn Russia of "international consequences" - NotPetya outbreak attributed to the Kremlin» [E.U.A., Reino Unido e Austrália alertam a Rússia sobre "consequências internacionais" - surto de NotPetya atribuído ao Kremlin]. WCCF Tech (em inglês). Consultado em 24 de março de 2023. Cópia arquivada em 29 de setembro de 2022 
  70. «Six Russian GRU officers charged in connection with worldwide deployment of destructive malware and other disruptive actions in cyberspace» [Seis oficiais russos do GRU acusados de implantação mundial de malware destrutivo e outras ações perturbadoras no espaço cibernético] (Nota de imprensa) (em inglês). Departamento de justiça dos Estados Unidos da América. 19 de outubro de 2020. Consultado em 20 de outubro de 2020. Cópia arquivada em 10 de dezembro de 2021 
  71. «UK exposes series of Russian cyber attacks against Olympic and Paralympic Games» [Reino Unido expõe série de ataques cibernéticos russos contra Jogos Olímpicos e Paraolímpicos] (Nota de imprensa) (em inglês). Escritório de relações exteriores, comunidade e desenvolvimento. 19 de outubro de 2020. Consultado em 20 de outubro de 2020. Cópia arquivada em 20 de outubro de 2020 

Leitura adicional editar