O que diabos aconteceu?
Em 12 de maio de 2017 várias organizações foram atingidas por um ransomware chamado WannaCry (também está sendo chamado como WannaCrypt ou WannaCryptor). Os usuários infectados não podem usar seus computadores e acessar seus arquivos, pois eles ficam criptografados até que seja pago um resgate de até US$ 300 convertidos em Bitcoin. A nota de aviso de resgate do WannaCry afirma que se você é “muito pobre para pagar” o resgate, seus arquivos serão descriptografados de graça… depois de 6 meses.
Quem foi atingido?
Um grande número de organizações foram impactadas, juntamente com quantidades consideráveis da infraestrutura pública. Este é um surto global para o qual recebemos relatórios de mais de 60 países. Ele atingiu as organizações de saúde, bem como empresas de telecomunicações, gás e eletricidade. Por exemplo, o Serviço Nacional de Saúde na Inglaterra foi uma das organizações mais afetadas, com hospitais fechados e cirurgias adiadas.
De acordo com a F-Secure Labs, os países mais afetados são Rússia e China, depois França, Taiwan, EUA, Ucrânia e Coréia do Sul.
*O Brasil também possui uma série de empresas e órgãos públicos afetados pelo ataque, seja porque tiveram computadores sequestrados ou porque tiveram receio de serem atingidos pelo ransomware. Serviços públicos e privados foram interrompidos enquanto o ataque permanecia ativo.
A propagação de WannaCry foi retardada pela ação de um “herói acidental”que registrou um nome de domínio internet que permitiu o “desligamento” do malware. Essa instrução estava no código do ransomware. Porém o próprio autor da descoberta deixa claro que basta uma pequena adaptação no código para que o ataque retorne, se espalhando rapidamente por todo o mundo.
Por que isso é tão grave?
WannaCry explora uma falha no Server Message Block (SMB) no Microsoft Windows que pode permitir a execução remota de código. A Microsoft corrigiu a vulnerabilidade em março de 2017 (MS17-010), porém muitos ambientes de TI ainda estão atrasados na aplicação de patches e/ou podem ainda estar executando sistemas operacionais antigos, como o Windows XP ou Server 2003, que não são mais suportados nem atualizados com patches de segurança. Há também um grande número de máquinas executando cópias piratas do Windows (especialmente na China e na Rússia) que, por sua natureza, não recebem atualizações oficiais e assim colocar as máquinas em risco.
Devido ao tamanho do surto, a Microsoft forneceu um patch ontem para XP e Server 2003.
No Brasil, última pesquisa sobre Software Pirata chegava a indicar 47% de uso, segundo a BSA / Software Alliance.
O que poderia ter impedido o ataque?
O tamanho do surto é indicativo de que há um número elevado de computadores que não aplicaram as atualizações de segurança da Microsoft. Pode haver três razões para isso – o patch foi disponibilizado em março, mas eles não instalaram ainda por algum motivo; Eles estão usando uma cópia pirata do Windows (e por isso não recebem atualizações de segurança); Ou eles estão executando o Windows XP/Server 2003 que não é mais suportado e não recebe atualizações do fabricante.
Por que se espalhou tão rápido?
Está se espalhando rapidamente porque a vulnerabilidade MS17-010 permite que o exploit atue como um “worm”, ou seja, sua propagação não depende de uma ação do usuário. O WannaCry é capaz de localizar outros computadores na rede de forma automática.
Posso recuperar os arquivos criptografados?
A descriptografia não está disponível neste momento, os arquivos criptografados devem ser restaurados a partir de backups, sempre que possível.
Quais são as melhores práticas para proteger contra ransomware?
Aqui estão os nossos TOP 5 dicas para manter seus dispositivos livres de ransomware:
- Verifique se você está executando uma solução de segurança robusta que cobre todos os seus dispositivos (PCs, Macs, smartphones e tablets) e fornece proteção. A proteção endpoint F-Secure protege contra todas as ameaças de ransomware conhecidas e também pode bloquear novas ameaças de dia zero. Com novas variantes de ransomware surgindo constantemente, esse tipo de proteção é importante.
- Faça backups regulares de seus dados. Armazene os backups offline, para que eles não possam ficar infectados. Teste a restauração destes dados para se certificar de que eles realmente funcionam.
- Mantenha o software em todos os seus dispositivos atualizados para evitar exploits. Se não tiver certeza de como manter tudo atualizado, você pode considerar a utilização de uma ferramenta que identifica versões de software antigas e sugere atualizações.
- Tenha cuidado extra com anexos de e-mail, especialmente com arquivos ZIP e documentos do Office (Word, Excel e PowerPoint). Não abra anexos de e-mail enviados por alguém que você não conhece. Também desabilite scripts de macro de quaisquer arquivos do Office que você recebe por e-mail.
- Limitar o uso de plugins do navegador. Desative aqueles que são muito explorados, como o Flash Player e o Silverlight, quando você não os estiver usando. Você pode fazer isso através de seu navegador da web sob as configurações de plugin.
Eu acrescento uma nota, que reforçamos junto a cada cliente constantemente: Não há solução mágica, um único produto que garanta proteção 100% contra este tipo de ameaça. É necessário um conjunto de ações que reduza o risco, mas caso a ameaça se concretize, medidas corretivas de recuperação devem garantir a restauração do ambiente afetado. Isso se dá pelo conjunto alinhado de investimentos em tecnologia, processos e pessoas.
Portanto não saia por ai desesperado em busca de fornecedores que prometam esse tipo de solução. Fuja dos oportunistas de plantão e faça consultas com diferentes profissionais que possam lhe auxiliar analisando diferentes cenários para ter a segurança efetiva, de acordo com as necessidades do seu ambiente. A solução adotada por um ambiente não necessariamente será o ideal para o seu.
Fontes consultadas: F-Secure
Imagens: F-Secure
Texto traduzido e adaptado: Roberto Henrique – Analista de Seg. da Informação – ABCTec