Como amplamente divulgado, nesta última sexta feira, 12 de maio de 2017, o mundo sofreu o que já está sendo classificado, como o maior ataque cibernético de todos os tempos, através de um RANSOMWARE, batizado de “WANNA CRY”.
Em uma ação coordenada, de autoria ainda desconhecida, afetou só no primeiro dia mais de 100 mil computadores em cerca de 74 países, inclusive aqui no Brasil.
A atualização de propagação já registrada nesta segunda feira, dia 15 de maio é que o mesmo já se propagou em mais de 150 países ultrapassando mais de 300 mil computadores infectados.
Segundo o jornal “The New York Times” diz que os ataques podem ter usado uma ferramenta que foi roubada da NSA (National Security Agency), a agência de segurança nacional dos EUA.
A propagação inicial, ocorreu através de alguns “backbones” na Europa, fornecedora de link de dados, como por exemplo, a Telefônica (aqui no Brasil Vivo/GVT), explorando uma vulnerabilidade nos sistemas operacionais da plataforma Windows Server, que foi corrigida horas depois de sua descoberta em 14 de março de 2017, através da atualização Microsoft MS17-010 (4013389). Os problemas de propagação desta forma, foi em decorrência de sistemas desta plataforma com licenças vencidas, e de versões descontinuadas, sem possibilidade de atualização para se proteger, desse e de outros ataques possíveis, tornando os mesmos vulneráveis.
A segunda forma, até o momento da publicação deste artigo (versão 2.0 do wanna cry), seria através de arquivos anexados via e-mail, ao contrário de outras variantes de RANSOMWARE, que explorava a famosa “engenharia social”.
Os arquivos anexados nos e-mails, ou em serviços de troca de arquivos via “in cloud” (em nuvem) com serviços via Drop Box, My Space, Google Driver entre outros, não são só arquivos executáveis (exe, msi, scr…), desconhecidos. Os desenvolvedores, estão usando uma técnica conhecida nas “pragas virtuais”, como worm (verme), ou seja, eles incluem dentro dos arquivos válidos, como planilhas do excell, word, pdf ou uma foto, o ransomware“escondido”, para poder passar pelo sistema de antivírus e quando executado pelo usuário se auto propagar por toda rede local a que o computador faça parte.
Apesar de estarmos desde sexta feira monitorando o funcionamento dos sistemas, buscando mais informações e outras ferramentas, que serão distribuídas ao longo dos próximos dias, é fundamental que os e-mails recebidos de destinatários desconhecidos, ou mesmo de destinatários conhecidos, mas com anexos com arquivos pesados, sejam excluídos sem serem executados, além das recomendações básicas que repetidamente informamos aqui pelo site, ou através da observância da PSI (Política da Segurança da Informação) de cada empresa.
Mesmo assim, caso aparece a imagem abaixo em tela, ou similar, entre imediatamente em contato com nossa central de help-desk em horário normal de expediente, ou pela central de emergências após horário de expediente.
Caso você não esteja familiarizado com os termos usados neste artigos como RANSOMWARE, ENGENHARIA SOCIAL, VIRUS, PSI, clique em cada um dos nomes, para ser redirecionado para área de artigos do nosso site, ou entre em contato conosco, para maiores informações.
Atenciosamente.
Equipe de Infra Estrutura
e Segurança da Informação