Na sexta-feira, 12 de maio de 2017, ocorreu um grande ataque do ransomware chamado WannaCry . Dentro de um dia, este enorme ataque global de extorsão cibernética paralisou mais de 300.000 computadores em mais de 150 países. Ele atingiu o Serviço Nacional de Saúde da Grã-Bretanha, a Telefônica da Espanha, a FedEx, várias empresas no Brasil e outros países e empresas em todo o mundo, bloqueando os dados e solicitando resgate.
O que é, por que isso está acontecendo, e como defender contra WannaCry e outros ransomwares?
Aqui estão 7 fatos que as organizações devem estar cientes.
1. O que é o Ransomware WannaCry e como ele funciona?
WannaCry é um pedaço de um ransomware visto pela primeira vez por pesquisadores de segurança da MalwareHunterTeam , às 9h45 em 12 de maio. Ele também está sendo chamado WanaCrypt0r 2.0, Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2.
Este ransomware explora uma vulnerabilidade conhecida no sistema operacional Microsoft Windows e acredita-se estar usando ferramentas desenvolvidas pela Agência Nacional de Segurança dos Estados Unidos (NSA) que foi vazado por um grupo anônimo chamando-se “Shadow Brokers” em abril.
A infecção inicialmente ocorre através de uma porta SMB exposta de um computador e, em seguida, ela usa a vulnerabilidade para espalhar-se para computadores aleatórios na Internet e lateralmente para computadores na mesma rede. Uma vez que o WannaCry infecta o computador, ele então criptografa arquivos, bloqueia o usuário e solicita um resgate.
2. Quem estava por trás do ataque?
A atribuição é complicada no mundo da guerra cibernética. A Shadow Brokers, que disse em abril ter roubado uma “arma cibernética” da NSA, está sendo parcialmente acusada pelo ataque. A ferramenta de hacking, chamada “Eternal Blue”, dá acesso sem precedentes a todos os computadores usando o Microsoft Windows. Ela tinha sido originalmente desenvolvido pela NSA para ter acesso a computadores usados por terroristas e estados inimigos. É relatado que outro grupo teve a oportunidade e atualizou a ferramenta para atacar os computadores em todo o mundo.
Alguns especialistas que examinaram o código encontraram pistas técnicas que eles disseram que poderiam ligar a Coréia do Norte ao ataque . A Symantec e a Kaspersky Lab disseram na segunda-feira que alguns códigos em uma versão anterior do software WannaCry também apareceram em programas usados pelo grupo Lazarus, que pesquisadores de muitas empresas identificaram como uma operação de hacking da Coréia do Norte.
3. Quanto dinheiro eles estão pedindo e alguém pagou?
Uma característica chave do ransomware bem sucedido é que o resgate é geralmente uma soma modesta – muito menos do que o custo de pagar uma equipe de especialistas em segurança para tentar derrotar o ataque de criptografia. WannaCry está pedindo entre US$300.00 e US$ 600.00 do valor da cripto-moeda Bitcoin para desbloquear o conteúdo dos computadores. Se as vítimas não pagaram rapidamente, há uma ameaça de que pagamentos mais elevados serão exigidos.
Apesar da infecção generalizada, apenas um pequeno número de pagamentos foram feitos. A CNBC relata que os pagamentos somaram apenas US$ 50 mil em bitcoin, mas os danos financeiros para as vítimas em todo o mundo são de ordem bem maior do que se tem dito até o momento. Especialistas em segurança continuam a alertar as vítimas a não pagarem a taxa de resgate.
4. Será que pagar o resgate realmente desbloquear os arquivos?
Às vezes, pagar o resgate vai funcionar, mas às vezes não. Analistas de segurança dizem que mais de 200 das vítimas do WannaCry que pagaram prontamente o resgate recuperaram seus dados. No entanto, especialistas em cibersegurança aconselham não pagar o resgate, observando que, historicamente, apenas dois terços das vítimas de ransomware compatíveis recuperam seus dados depois de atender às demandas dos hackers. A Microsoft também afirmou no FAQ do ransomware que “não há garantia de que a entrega do resgate lhe dará acesso aos seus arquivos novamente. Pagar o resgate também pode fazer de você um alvo para outros malwares. “
5. O que a Microsoft fez para enfrentá-lo?
A Microsoft declarou que já havia lançado uma atualização de segurança para corrigir a vulnerabilidade explorada pelo ransomware. Em 12 de maio, um porta-voz da Microsoft disse que seus engenheiros forneceram serviços adicionais de detecção e proteção contra o ransomware WannaCry e que estava trabalhando com os clientes para fornecer assistência adicional. O porta-voz reiterou que os clientes que têm atualizações do Windows habilitado e usam o software antivírus gratuito da empresa estão protegidos.
6. Será que vai continuar a se espalhar?
Um pesquisador britânico de segurança cibernética descobriu uma “chave para desligar” que pode impedir temporariamente a propagação do ransomware WannaCry. O pesquisador, @MalwareTechBlog, disse que a descoberta foi acidental, mas que o registro de um nome de domínio usado pelo malware impede sua propagação.
No entanto, não demorou muito para novas versões do WannaCry após o código “chave para desligar” ser removida.
7. Como as organizações podem se proteger?
Uma vez que o ransomware tenha criptografado seus arquivos, não há muito o que você pode fazer. A primeira linha de defesa contra o WannaCry é instalar as atualizações de segurança mais recentes do Windows. Resolver a falha que permite que este vírus se propague é vital.
Embora WannaCry não pareça ter sido espalhado através de phishing, a maioria dos vírus ransomware o fazem, por isso outra dica crucial é evitar a abertura anexos suspeitos ou clicando em links em e-mails.
Como ransomware criptografa dados, a melhor defesa contra ataques ransomware é manter backups dos seus dados valiosos. No caso de um ransomware ataca, o sistema pode ser limpo, e uma cópia de segurança dos dados pode ser restaurada. Os backups dos dados importantes devem ser mantidos a salvo da contaminação, de modo que a melhor estratégia de proteção é armazenar os dados de backup em vários destinos remotos na nuvem.
Olhando para o futuro, a cada dia haverá novas ameaças do tipo ransomware afetando as organizações e indivíduos em todo o mundo. Agora é imperativo para todos começar a fazer backup local e backup na nuvem de seus computadores para sobreviver as próximas ondas de ataques de ransomware.
Entre em contato conosco e terá a melhor estratégia para proteger os seus dados
Pingback: Cry Brazil: ransomware sequestra PCs de brasileiros; saiba se proteger |