Desde o último dia 12, o mundo está em alerta devido a um dos maiores e mais danosos ataques cibernéticos em grande escala baseado em sistemas Windows. Utilizando uma falha no sistema operacional, o ransomware WannaCry causou danos em grandes empresas ao redor do mundo. No Brasil, várias foram afetadas pelo ataque, entre elas estão a VIVO, o Tribunal de Justiça de São Paulo e o Hospital Sírio-Libanês. O portal TECMUNDO, chegou a divulgar que ATENTO, TiviT e Telefônica teriam sido infectadas, mas a informação não foi confirmada pelas empresas.
Este ataque é diferente de qualquer outro por se tratar da união de técnicas velhas e novas no que diz respeito a infecções em grande escala. Possuindo a capacidade de autopropagação comum em worms, o WannaCry utiliza técnicas de phishing para iniciar a infecção do host, tem como base uma ferramenta de exploit desenvolvida pela National Security Agency (NSA), que teve o código subtraído e publicado pelo grupo de hackers Shadow Brokers. O Wikileaks (organização transnacional que publica postagens de fontes anônimas, documentos, fotos e informações confidenciais, vazadas de governos ou empresas, sobre assuntos sensíveis) foi o principal amplificador desse vazamento, que explora uma vulnerabilidade no protocolo SMB do Windows, utilizado para os compartilhamentos de rede do S.O.
Também conhecido como Wanna Descrypt, WannaCrypt, WCry, ou ainda WannaCrypt0r, o ransomware foi detectado, pela primeira vez, em fevereiro deste ano. Ele se propaga via mensagens de correio eletrônico ou através de outros computadores já infectados na mesma rede, replicando para outros servidores e computadores através da porta 445. Após ter acesso ao sistema e garantir privilégios necessários, ele inicia a criptografia dos dados armazenados no servidor ou computador. Para que os mesmos sejam “recuperados”, ele exige o pagamento de resgate na forma de Bitcoin.
O sucesso do WannaCry mostra que as empresas e usuários domésticos estão deixando de atualizar seus sistemas. Conforme nota da Microsoft, a propagação do ransomware poderia ter sido evitada se os Sistemas Windows estivessem atualizados ou na última versão do S.O (atualização disponível desde março). Isso porque os sistemas como Windows XP e 2003 não possuem mais atualizações (em caráter de urgência, em função do ataque cibernético, a Microsoft lançou a atualização para os dois sistemas).
A infecção do WannaCry está temporariamente controlada após especialistas de Segurança da Informação identificarem um “gatilho” no código do WannaCry. Este acionador faz uma verificação em um site. Caso o site não exista, o worm inicia o processo de infecção. Bastou o domínio pesquisado ser registrado para que velocidade de propagação worm diminuísse consideravelmente. No entanto, já foram encontradas variações do WannaCry, que não possuem esta característica, o que pode gerar novas ondas de infecções.
Para minimizar os riscos de infecção deve-se seguir um conjunto de boas práticas:
- Manter o Sistema Operacional atualizado;
- Não navegar em sites suspeitos (Ex.: sites de programas, filmes e músicas gratuitas);
- Não baixar arquivos suspeitos (cracks, programas piratas, etc.);
- Trocar senhas com frequência (no mínimo a cada 60 dias) e usar senhas mais complexas;
- Não acessar sites e páginas não relacionadas ao trabalho fim da empresa;
- Não abrir e-mail suspeito (com anexos e links). Exemplo: emails de cobrança, banco, receita federal, correios, propagandas;
- Na dúvida em relação a algum conteúdo recebido, pedir auxílio para uma equipe técnica especializada.
- Manter uma solução de antivírus atualizada diariamente;
- Possuir sistema de firewall atualizado;
- Manter uma rotina de backup atualizada e testada.
Usuários e empresas que utilizem Sistemas Operacionais obsoletos (XP, VISTA, etc.) devem ficar em alerta total e de preferência atualizar seus sistemas o mais rápido possível. Usuários de antivírus considerados “fracos”, como AVG, AVAST e AVIRA, também devem ficar atentos e buscar melhores opções de proteção, como EndPoints, que possuem soluções mais completas de proteção.
Qual a orientação para casos de computadores infectados?
Isole o computado, retirando cabo da rede ou desativando o wifi e aplique o patch de segurança da Microsoft. Em outro computador, não infectado, faça o download do executável no site da Microsoft, salve em um pen-drive, depois copie para o computador infectado e execute-o (lembre-se de usar um pen-drive sem dados importantes e de formatar o mesmo depois). Verifique se as políticas de segurança do servidor ou computador estão corretas.
A ideia é tentar não disseminar o ransomware para os demais computadores visto que, uma vez criptografados os dados, não há o que fazer a não ser pagar o regaste exigido.
Dicas importantes sobre segurança para internet podem ser encontradas em uma cartilha desenvolvida pelo Centro de Estudos para Resposta e Tratamento de Incidentes em Computadores (CERT). Clique aqui e acesse.
O que significa?
Ransonware: tipo de malware que infecta computadores de sistemas operacionais diferentes e criptografa os arquivos do usuário. Existem diversas variações de ransomwares. O que utilizado neste ataque do dia 12/mai é o mais comum. Uma vez criptografados, os ransomwares exibem mensagens de resgate dos arquivos mediante ao pagamento de resgate, comumente feito em Bitcoins, mas podem ser utilizadas outras moedas digitais também.
Malware: proveniente do termo em inglês MALicious software. Trata-se de um software destinado a se infiltrar em um computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações.
Bitcoin: criptomoeda descentralizada apresentada em 2008 no grupo de discussão The Cryptography Mailing por um programador japonês, ou um grupo de programadores, de pseudônimo Satoshi Nakamoto. É também um sistema ou rede de pagamento online baseado em protocolo de código aberto. Diferente da maioria das moedas, o bitcoin não depende da confiança de um emissor centralizado ou uma instituição financeira. Usa um banco de dados distribuídos, espalhados pelos nós da rede P2P (usuários) para registrar as transações (símbolo: Ƀ; abrev: BTC ou XBT).
Worm: programa autorreplicante, diferente de um vírus. Enquanto o vírus infecta um programa e necessita deste programa hospedeiro para se alastrar, o worm é um programa completo e não precisa de outro para se propagar.
Phishing: maneira desonesta que cibercriminosos usam para enganar as pessoas e revelar informações pessoais, como senhas ou cartão de crédito, CPF e número de contas bancárias. Eles fazem isso enviando emails falsos ou direcionando a websites falsos.
Exploit: em português significa explorar, “usar algo para sua própria vantagem”. É um pedaço de software, um pedaço de dados ou uma sequência de comandos que tomam vantagem de um defeito, falha ou vulnerabilidade a fim de causar um comportamento acidental ou imprevisto a ocorrer no software ou hardware de um computador ou em algum eletrônico (normalmente computadorizado).
Porta 445: Porta utilizada pelo protocolo SMB para os compartilhamentos de rede.
Firewall: dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que controlam o fluxo de entrada e saída de informações e do grau de segurança desejado.
EndPoints: união de diversas ferramentas e recursos de proteção para computadores, desde aplicações que abrangem análise do comportamento e da reputação de arquivos e programas, até controle e bloqueio de acessos a determinados tipos de site.
Patch: programa de computador criado para atualizar ou corrigir um software. Esta técnica pode ser utilizada como uma das formas de distribuir uma liberação de software.
Artigo produzido por:
Rudimar Grass
Gerente de Operações da e-Sales