WannaCry: a ameaça não acabou

0

Lembram do ataque cibernético no último dia 12 de maio que atingiu mais de 345 mil dispositivos em 150 países em cinco dias após o incidente? Estima-se que 97% dos dados as máquinas infectadas foram criptografados, gerando pedidos de resgate. Até esta data, os prejuízos do ransomware somavam mais de US$ 112 mil, o equivalente a cerca de R$ 365 mil e já existem mais de 320 variantes do WannaCrypt original.

Embora o susto aparentemente tenha passado e os infectados já tenham retomado suas atividades, o que a maioria não sabe é que o dano poderia ser muito maior. A quantidade de dados vazados pela NSA equivale a mais 8 ataques, além do que ocorreu no dia 12 de maio. Assustador, não?

Entretanto, o que é mais espantoso é o despreparo das empresas em relação a este tipo de incidente, uma vez que novas vulnerabilidades são descobertas, disponibilizadas e até comercializadas diariamente. Além disso, não é novidade para ninguém que todos os dias surgem ameaças cada vez mais avançadas.

O WannaCry ou WannaCrypt surgiu a partir de uma invasão realizada em 2016 na Agência Nacional de Segurança (NSA) norte-americana. O grupo de hackers Shadow Brokers alegou o roubo da "suíte" de invasão apelidada de FuzzBunch, que possuía o EternalBlue, desenvolvido em 2013 e usado pela NSA para espionagens em ambientes com sistemas operacionais da Microsoft. Diversas fontes afirmam que foram localizados links do malware com a Coreia do Norte. O EternalBlue serviu de base para a criação do WannaCry, porém outras ferramentas do tipo também estavam no "pacote" invadido pelo grupo hacker.

Ainda em 2016, o Shadow Brokers publicou na deep web um leilão do ransomware WannaCry, com o EternalBlue incorporado em seu código fonte, com a proposta de 1 milhão de Bitcoins. Sem sucesso, em janeiro de 2017 foi realizada uma nova oferta de ferramentas de espionagem exclusivas para sistemas Windows, incluindo o WannaCry. Desta vez o valor chegava a 100 Bitcoins (US$ 80 mil).

Ao descobrir a vulnerabilidade, a Microsoft disponibilizou diversas atualizações de segurança em março de 2017. A instalação do patch e atualização do sistema teriam evitado a infecção nas máquinas atingidas. Entretanto, as atualizações para as versões Windows XP, 8 Server 2003 e 2008 só foram disponibilizadas em 13 de maio.

O que também muita gente não sabe é que as primeiras infecções causadas pelo WannaCry foram feitas por meio de redes BOTNET que realizavam varreduras em IPs da internet a fim de verificar vulnerabilidades em relação ao patch de segurança disponibilizado pela Microsoft em março deste ano, sem precisar da interação "humana" como por exemplo ataques de phishing. Após contaminar a máquina, o malware se encarrega de localizar outras máquinas vulneráveis na mesma rede e propaga o vírus.

Apesar de todo o histórico, as infecções ocorreram por falhas simples de segurança, que poderiam ter sido evitadas com a atualizações constantes do sistema operacional e aplicativos, além da implantação de políticas de segurança mais assertivas. A falta de atenção quanto a e-mails e programas maliciosos, algo que é utilizado há tanto tempo pelos invasores, revela que a proteção dos dados precisa ser levada mais a sério por usuários e empresas.

Para quem ainda não se protegeu, mas se safou do ataque, é fundamental instalar todas as atualizações disponibilizadas pela Microsoft, antivírus e demais programas utilizados. Outra dica é usar o firewall de forma mais inteligente, desabilitando o protocolo SMB das máquinas com o auxílio deste tutorial. Se o sistema operacional utilizado não possui mais suporte, é possível instalar os patchs de segurança emergenciais disponibilizados pela Microsoft. Se você foi atingido, garanta que o dispositivo infectado seja formatado antes de restaurar o backup dos dados, caso tenha. No caso de empresas, além de todas estas ações, recomenda-se a manutenção constante de toda a rede por profissionais ou empresas confiáveis que avaliem todos os gargalos a fim de implementar as melhores soluções de acordo com a necessidade de cada negócio.

Os ataques só são bem sucedidos porque recomendações teoricamente óbvias como estas não são seguidas por empresas e usuários. Que tal dar mais atenção a segurança dos seus dados desde já? Os ataques não possuem aviso prévio. Vai esperar pelo próximo?

Eduardo Bernuy Lopes,  gerente de Segurança da Informação da REDBELT.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.