Ataque global do ransomware WannaCry a computadores de grandes companhias ao redor do mundo marcou esta sexta-feira (12/05). Empresas na Alemanha, Reino Unido, Espanha, Brasil e outros países estão tomando medidas contra o malware que criptografa arquivos e pede resgate em bitcoins para recuperar dados, ameaçando excluí-los após um período definido de dias se o montante não for pago. Saiba mais o que é ransomware, clique aqui.
Entenda o que está acontecendo no mundo, a suposta conexão com a ferramenta exploit da NSA e prevenções imediatas
Segundo especialistas as infecções do ransomware WannaCry estão acontecendo de duas formas:
1.Por meio de uma vulnerabilidade no Windows
O ransomware se beneficia de uma vulnerabilidade no Windows que permite infectar remotamente por meio do SMB, protocolo de compartilhamento de arquivos. Quando uma máquina é afetada, rapidamente pode espalhar para todos os computadores vulneráveis da rede.
A falha estava presente em todos os Windows desde o Vista, incluindo as versões para servidores. A Microsoft liberou uma correção no dia 14 de março, mas apenas para sistemas Windows mais recentes, e pelo visto, poucas empresas atualizaram suas máquinas e servidores.
As versões antigas, como o Windows Server 2003 e Windows Vista não são mais suportadas, mas ainda são amplamente utilizados entre as empresas, de acordo com especialistas em segurança. Desta forma, este ataque mais uma vez prova que além de possuir soluções de continuidade de negócios (alta disponibilidade do backup em nuvem) e endpoints, também é necessário manter os softwares de sistemas operacionais sempre atualizados ou em uma versão que ainda possua suporte.
A infecção através de um exploit, no geral, um site malicioso é acessado e, logo em seguida, um computador com uma vulnerabilidade do tipo zero day é explorado.
2.Por meio de documentos maliciosos do Office
Segundo o especialista da Avast, notou-se variedades de ransomware atacando através de documentos que contém macros, enviados através de anexo de e-mail. Neste tipo de contaminação o documento malicioso precisa ser aberto e, após, as macros serem habilitadas para que o ransomware seja baixado.
Entenda a suposta conexão entre o mega ataque de ransomware e a ferramenta exploit da NSA
O ransomware, WannaCry, explora uma vulnerabilidade do Windows divulgada no mês passado quando ferramentas de hacking usadas pela NSA vazaram na internet.
Segundo um pesquisador de malware independente, um exploit do Microsoft Windows chamado EternalBlue que acredita-se pertencer à NSA, está sendo utilizado como método para espalhar uma variante ransomware chamada WannaCry, pois torna o sequestro de sistemas Windows mais fácil. Destina-se especificamente ao protocolo Server Message Block (SMB) no Windows, utilizado para fins de compartilhamento de arquivos.
Para Matthew Hickey, diretor do provedor de segurança, o desenvolvedor do Wanna Decryptor parece ter adicionado as supostas ferramentas hackers da NSA ao código do ransomware.
Prevenções imediatas
Especialistas em segurança estão orientando as organizações a corrigirem sistemas vulneráveis, atualizar para as versões mais recentes seus sistemas operacionais e fazer backups de arquivos críticos em nuvem.
Acontecimentos ao redor do mundo
O ransomware atingiu sistemas em pelos menos 11 nações. A Avast afirmou à Forbes que detectou mais de 36 mil ataques até ontem e a Kaspersky diz que o WannaCry já foi visto em 45 mil computadores de 74 países. Segundo o especialista de segurança da Avast, Jakub Kroustek, “Este ataque, mais uma vez, prova que o ransomware é uma poderosa arma que pode ser usada contra consumidores e empresas”.
Ontem pela manhã, o NHS (Hospitais do Reino Unido) disse em comunicado oficial acreditar que foi infectado pelo WannaCry e confirmou a revista Forbes que 16 das suas organizações tinham sido afetados pelo ataque cibernético.
Segundo a MalwareHunterTeam, a Rússia tem sido o país mais atingido, mas a Espanha também foi gravemente atacada através da gigante das telecomunicações Telefônica que é a maior empresa de telecomunicações da Espanha e dona da Vivo no Brasil, é uma das principais afetadas.
Ontem, Jakub Kroustek, especialista de segurança da Avast afirmou: “Uma observação interessante que fizemos é que a maioria dos ataques de hoje estão direcionados para a Rússia, Ucrânia e Taiwan”.
Fontes:
- https://www.tecmundo.com.br/seguranca-de-dados/116360-especialista-explica-crescimento-ransomware-brasil.htm
- https://tecnoblog.net/214579/telefonica-espanha-ransomware/
- https://www.oficinadanet.com.br/post/19020-ransomware-deixa-85-dos-computadores-comprometidos-da-telefonica
- https://www.computerworld.com.pt/2017/05/12/pt-alvo-de-ataque-de-ransomware/
- https://idgnow.com.br/internet/2017/05/12/mega-ataque-do-ransomware-wanna-decryptor-derruba-sistemas-em-todo-o-mundo/
- https://tek.sapo.pt/noticias/internet/artigos/ataque-informatico-global-ransomware-da-familia-wanna-e-a-arma-que-esta-causar-os-estragos
- https://www.jornaleconomico.sapo.pt/noticias/ransomware-arma-cibernetica-da-nsa-pode-estar-na-origem-do-problema-157938
- https://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=45159&sid=18