Wannacry Ransomware
Na manhã do dia 12 de maio de 2017 sexta-feira, tivemos conhecimento de um Mega-ciberataque que teve início na Europa que afetou serviços de comunicação, hospitais na Inglaterra, empresas de telefonia e energia na Espanha, como Gas Natural e Ibedrola, tomaram medidas preventivas.
A Telefonica na Espanha teve a sua rede interna afetada e seus funcionários tiveram de desligar computadores e servidores, empresas como Mapfre e BBVA tiveram suas operações afetadas pelo ataque.
No Reino Unido, ao menos 16 hospitais ligadas ao Serviço Nacional de Saúde (NHS) da Inglaterra enfrentaram problemas após um ataque análogo contra seus sistemas de tecnologia. O bloqueio de computadores impediu o acesso a prontuários e provocou o redirecionamento de ambulâncias, o que ocasionou o cancelamento de operações e o desvio de ambulâncias.
Informações preliminares da imprensa espanhola indicam que os ciberataques têm origem na China.
Segundo o portal IT Security News, ao menos 11 países foram afetados nas últimas horas.
No Brasil, temos relatos que funcionários da empresa Vivo também tiveram além de suas workstation afetadas, o próprio datacenter teve impacto, chegando a desligarem cabos e servidores para minimizar a propagação do malware, um comitê de crise foi instaurado.
Funcionários da Sonda Procwork relatam que o ataque chegou a rede corporativa onde seus desktops foram afetados.
Sendo considerado um dos piores ataques cibernéticos da historia recente, globalmente todos estão atentos e é recomendado que todas as organizações tomem precauções para mitigação do risco.
O site de Defesa Contra Ameaças Cibernéticas ccn-cert.cni.es soltou um comunicado as 12/05/2017 13:41 informando que o malware pode infectar outros sistemas Windows conectados à mesma rede que não são devidamente atualizados. A infecção de um computador pode comprometer toda a rede corporativa.
O ransomware, uma variante do WannaCry, infecta a máquina, criptografando todos os seus arquivos e, usando a vulnerabilidade mencionada no parágrafo anterior que permite a execução de comandos remotos via Samba (SMB) e distribuído para outras máquinas Windows que está em na mesma rede.
Sistemas afetados que têm a actualização de segurança são:
- Microsoft Windows Vista SP2
- Windows Server 2008 SP2 e R2 SP1
- Windows 7
- Windows 8.1
- RT Windows 8.1
- Windows Server 2012 e R2
- Windows 10
- Windows Server 2016
Medidas de prevenção e mitigação para os sistemas é a simples atualização ou instalação do patch Microsoft Security Bulletin MS17-010 – Critical disponível em https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
O CCN-CERT recomenda o seguinte:
- Atualização do sistema para a versão mais recente ou patch conforme relatado pelo fabricante;
- Para sistemas sem apoio ou correção, recomenda-se isolar a rede ou desligar.
- Isolar portas de comunicação 137 e 138 portas UDP e TCP 139 e 445 em organizações redes.
- Descubra quais sistemas dentro de sua rede, eles podem ser suscetíveis ao ataque através da vulnerabilidade do Windows, caso em que pode ser isolado, atualizado e/ou desligado.
Lembramos que o pagamento do resgate, não garante que os atacantes enviem o utilitário ou a senha para decriptar o conteúdo comprometido, que o mesmo só encoraja os criminosos a continuar distribuir esse tipo de malware.