TargetEveryone e Ar Telecom assinam parceria para uma solução única e integrada de marketing digital
23 Maio, 2017
Programa de parceria Ar Telecom
30 Maio, 2017

WannaCry: a ameaça não acabou. Saiba o que deve fazer perante o vírus informático

Uma das características diferenciadoras deste ataque de ransomware terá sido o facto de ter propriedades de worm e desta forma ser capaz de infetar todos os computadores vizinhos com a mesma vulnerabilidade de SMB.

O recente ataque de ransomware designado por WannaCry, ou WannaCrypt (pela ESET), surgiu após a divulgação em Março passado de um conjunto de várias ferramentas e exploits (vulnerabilidades) utilizadas pela NSA. Uma das ferramentas que estava presente nesta fuga de informação dava pelo nome de ETERNALBLUE e permitia atacar remotamente o protocolo SMB v1 (Server Message Block) com privilégios de execução de código arbitrário no computador atacado.

Ainda sujeito a análise detalhada, o WannaCry aparentemente teve como único objetivo encriptar documentos nos sistemas infetados em troco do pagamento de um resgate que variava entre 300 e 600 dólares, pagos em Bitcoin – um clássico ataque de ransomware.

O vetor de ataque terá sido phishing, spear-phishing (um tipo de phishing mais direcionado a uma pessoa ou departamento) ou eventualmente ataques diretos a sistemas com o protocolo SMB v1 (porto tcp/445) exposto à Internet.

Uma das características diferenciadoras deste ataque de ransomware terá sido o facto de ter propriedades de worm e desta forma ser capaz de infetar todos os computadores vizinhos com a mesma vulnerabilidade de SMB.

Este ‘infame’ ataque de ransomware, que teve um impacto tão visível em termos mediáticos na imprensa e que causou interrupções de serviços e comunicações em sectores tão críticos como banca, seguros, telecomunicações ou saúde, podia ter sido evitado com uma simples atualização de segurança que a Microsoft disponibilizou a 14 de Março 2017, ainda antes da fuga de informação que ocorreu a 14 de Abril 2017.

Se já existia uma correção de segurança da Microsoft para esta vulnerabilidade (a MS17-10) antes de existir sequer a ferramenta que deu origem mais tarde ao malware WannaCry, então porque razão empresas e organizações entraram em pânico ao ponto de terem de bloquear acessos à internet, receção de email e outros serviços?

As razões podem ser tão variadas como negligência, falta de recursos humanos, falta de recursos tecnológicos ou muitas outras que não justificam a instalação de atualizações consideradas críticas pela Microsoft ou por qualquer outra atualização de outro fabricante / software.

Outro motivo igualmente crítico passa pela utilização de sistemas operativos descontinuados (sem atualizações) como por exemplo o Windows XP, Vista, 2000, 2003 ou 7. As razões que levam tantas organizações a usar ainda sistemas operativos descontinuados (ou ‘legacy’) são frequentemente financeiras – evitar custos de upgrade de licenciamento – ou assegurar compatibilidade com aplicações específicas (legacy).

Embora tudo isto pareça assustador, existem diversas formas de estarem mais protegidos contra estas as ameaças.

Instalem Software Anti-Malware. É verdade que já devem ter ouvido isto várias vezes e parece muito repetitivo mencioná-lo agora. No entanto, já ouvimos recorrentemente as frases: “É um servidor e temos firewalls, por isso não vamos instalar antivírus nesta máquina” ou “Era muito complicado instalar antivírus neste servidor”. Por estes e outros motivos, volto a insistir: instalem uma boa solução anti-malware.
Como exemplo, o módulo de proteção de rede da ESET já bloqueava as tentativas de exploração desta vulnerabilidade utilizada pelo WannaCry ao nível da rede, ainda antes deste malware ter sido criado.

Atualizem as máquinas Windows – Sabemos que as atualizações podem ser muito difíceis de implementar em toda a rede. Porém têm mesmo de as fazer.
O conhecimento é metade da batalha. Se souberem com o que estão a lidar conseguirão sempre proteger a vossa rede contra as ameaças.

Nuno Mendes
CEO da Whitehat

Ver Outras Notícias