A seção Matéria de capa é apoiada por:

WannaCry: a ameaça não acabou?

A sexta-feira do dia 12 de maio de 2017 foi um dia atípico para o mundo. Um vírus, intitulado WannaCry ou WanaCrypt0r, infectou diversos computadores em mais de 150 países. Hospitais e agências governamentais também foram alvos do ransomware, criando caos e prejuízos. Logo nos primeiros momentos do ataque, a empresa de segurança digital Avast chegou a registrar mais de 250.000 detecções do vírus em 116 países, que, felizmente, foram impedidos de infectar os computadores desses usuários, protegidos com o seu sistema antivírus.

De acordo com o líder da equipe do Threat Lab da Avast, Jakub Kroustek, cerca de 15% dos mais de 400 milhões de usuários do Avast não corrigiram a falha do Windows (MS17-010), que os deixariam vulneráveis a este ataque, caso não estivessem protegidos pelo Avast. "Na tarde do dia 12, mais de 50.000 usuários haviam sido alvos do ransomware. No início da madrugada de sábado, o número de detecções já havia crescido para mais de 100.000", relata Jakub Kroustek.

Ainda de acordo com o especialista, alguns pesquisadores acreditam que a disseminação do vírus acabou, mas apenas uma variante do WannaCry, que se espalhou com um worm (vetor de infecção) específico, que é aquele que simplesmente criptografa os arquivos, os fazem sumir e não infecta outros computadores.

"Detectamos cerca de 10.000 ataques por hora, logo após a crise, o que é realmente um número alto para uma simples família de malware", explica o profissional. "Depois que um pesquisador de malwares apertou o botão de desligar, o número de detecções diminuiu significativamente até atingir 2.000 por hora, no início da noite de sexta-feira. O número dos ataques vem diminuindo desde aquele momento e esperamos que esta tendência continue assim", concluiu o líder do Threat Lab da Avast.

Jakub Kroustek explica que o WannaCry, assim como a maioria das outras linhagens de ransomwares, não tinha um alvo específico. Ele escolhia seus alvos de forma aleatória entre os computadores que não haviam corrigido a falha de um protocolo de compartilhamento de arquivos em rede (MS17-010 do Windows SMB - em inglês, Server Message Block), com a atualização que a Microsoft havia publicado em março.

A melhor solução, neste caso, de acordo com a Avast, é recuperar os arquivos através de um backup, desde que o computador não esteja infectado, com todas as atualizações instaladas e sem estar conectado à internet ou a uma rede interna, para minimizar o risco de que os arquivos de backup também sejam criptografados.

O INTERRUPTOR
Kroustek conta que um pesquisador conhecido no Twitter como "MalwareTech" descobriu, no código do malware, um "interruptor" que bloqueou a disseminação da variante mais comum do WannaCry. Desde que o interruptor foi acionado, a disseminação do WannaCry caiu significativamente. Contudo, eles notaram que pelo menos outras seis variantes do WannaCry contêm outros interruptores (isto é, utilizam outro endereço de domínio ou URL).

A Avast estima que os criminosos por trás desse ataque tenham lucrado aproximadamente US$70 mil. O resgate exigido pelo WannaCry estava entre 300 e 600 dólares (sendo que 300 dólares valiam 0,17222 Bitcoins -BTC- ou R$932, em 16 de maio de 2017) e os valores cresceram ao longo do tempo. "Estivemos monitorando os endereços de pagamento de Bitcoin, que foram utilizados pelo grupo por trás do ataque e houve mais de 260 pagamentos, gerando um valor total de 41 BTC", revela a empresa.

O gerente de Segurança da Informação da Redbelt, Eduardo Bernuy Lopes, afirma que até o final do mês de maio os prejuízos do ransomware somavam mais de US$ 112 mil, o equivalente a cerca de R$ 365 mil e que já existem mais de 320 variantes do WannaCrypt original. "Embora o susto aparentemente tenha passado e os infectados já tenham retomado suas atividades, o que a maioria não sabe é que o dano poderia ser muito maior. A quantidade de dados vazados pela NSA equivale a mais oito ataques, além do que ocorreu no dia 12 de maio. Assustador, não?", informa.

Segundo Eduardo, o WannaCry ou WannaCrypt surgiu a partir de uma invasão realizada pelo grupo de hackers Shadow Brokers, em 2016, na Agência Nacional de Segurança (NSA) norte-americana. Ainda em 2016, esse mesmo grupo tentou leiloar o ransomware WannaCry, na deepweb, por 1 milhão de Bitcoins.

Mas, ao descobrir a vulnerabilidade, a Microsoft disponibilizou diversas atualizações de segurança em março de 2017. "A instalação do patch e atualização do sistema teriam evitado a infecção nas máquinas atingidas. Entretanto, as atualizações para as versões Windows XP, 8, Server 2003 e 2008 só foram disponibilizadas em 13 de maio", diz o gerente.

Para o especialista da Redbelt, apesar de todo o histórico, as infecções ocorreram por falhas simples de segurança, que poderiam ter sido evitadas com as atualizações constantes do sistema operacional e aplicativos, além da implantação de políticas de segurança mais assertivas. "A falta de atenção quanto a e-mails e programas maliciosos, algo que é utilizado há tanto tempo pelos invasores, revela que a proteção dos dados precisa ser levada mais a sério por usuários e empresas", afirma.

ALERTA
Para a Easy Solutions, empresa especializada no combate a fraudes em todos os dispositivos e canais, a preocupação torna-se ainda maior ao constatar que os remédios para o WannaCry são apenas mais um vetor de ataques. "O enorme alcance e o potencial impacto financeiro do WannaCry têm, compreensivelmente, causado pânico, e as empresas têm se apressado para proteger seus dispositivos. No entanto, esse frenesi abriu as portas para novas modalidades de fraude", afirma o fundador e CEO da Easy Solutions, Ricardo Villadiego.

Uma das fraudes a que o empresário se refere é por meio de aplicativos encontrados em lojas não oficiais. Segundo o CEO, existem vários aplicativos anunciando que podem proteger os usuários contra o WannaCry. "No entanto, especialistas descobriram que alguns desses aplicativos contêm adwares destinados a infectar os dispositivos nos quais foram baixados. Em vez de proteger os dispositivos dos usuários, eles causam mais danos", explica.

O adware encontrado é classificado como Adware.mobidash, um módulo que os invasores costumavam incluir em jogos e aplicativos para Android e monetizá-los. Esse adware pode inserir anúncios em páginas na web, mostrar outras mensagens na barra de status ou modificar o servidor DNS. "Nessa última ação, o dispositivo do usuário final realiza atividades indesejadas sem sua autorização ou conhecimento. Para ocultar esse comportamento perigoso, o adware não inicia a atividade maliciosa imediatamente, mas após um curto período de tempo", destaca Villadiego.

Como os ataques ainda devem continuar, os especialistas em segurança da informação da CIPHER, empresa global de cibersegurança, Fernando Amatte e Wolmer Godoi, separaram alguns cuidados para prevenção dos dados e possíveis recuperações para dados criptografados.

"Recomendamos que, para prevenção imediata, seja aplicada a atualização disponibilizada pela Microsoft a partir de redes confiáveis nos sistemas operacionais Windows, pois esse tipo de ameaça ransomware continuará rodando por algum tempo", diz Fernando Amatte, gerente de segurança da informação da Cipher.

"Além disso, é importante a aplicação do 'patch' e reinicialização mesmo de servidores de missão crítica, já que o impacto operacional do downtime dessas máquinas será menor do que aquele causado pela ameaça. Também recomendamos a gestão proativa de ativos, de vulnerabilidades, patches e atualizações, para garantir que somente as portas de comunicação necessárias em servidores e computadores estejam expostas na internet", comenta.

Diferentemente de outros malwares do tipo ransonware, que geram endereços, chaves e contas de bitcoin individuais para cada vítima infectada, esta variante do WannaCry tem somente três contas, em seu código, destinadas a receber o resgate. Com milhões de computadores infectados em todo o mundo, é praticamente impossível, para os cibercriminosos, saber quais vítimas pagaram o valor. A recomendação é não realizar o pagamento em hipótese alguma.

"Não existem notícias até o momento de recuperação de arquivos para as empresas que efetuaram o pagamento exigido. Há indícios de que novas variantes do malware estejam sendo escritas, o que pode dar início a novas ondas de ataque. A atualização imediata e reinicialização do sistema operacional é a melhor forma de estar seguro", finaliza Wolmer Godoi, diretor de cibersegurança e serviços profissionais da Cipher.

OS 10 PAÍSES MAIS ATINGIDOS
De acordo com os dados da Avast, estes são os países que mais foram afetados (pela ordem)

(01) RÚSSIA
(02) UCRÂNIA
(03) TAIWAN
(04) ÍNDIA
(05) BRASIL
(06) TAILÂNDIA
(07) ROMÊNIA
(08) FILIPINAS
(09) ARMÊNIA
(10) PAQUISTÃO

DICAS PARA PREVENÇÃO
Acessar o Windows Update através do menu Iniciar, verificar atualizações disponíveis e aplicá-las. Caso você não tenha acesso às configurações, solicite ao gestor de TI

Faça backups de seus arquivos rotineiramente. A recomendação é ter seus arquivos salvos em discos rígidos locais e em algum serviço de armazenamento na nuvem

Não expor o protocolo SMB (Server Message Block) das máquinas Windows na Internet, que opera na camada de aplicações para permitir acesso compartilhado a arquivos, impressoras e portas de comunicação. Mesmo sabendo que o malware WannaCry utiliza somente a porta 445, recomendamos filtrar todo o tráfego NetBIOS (portas 137, 139 e 445 TCP, além de 137 e 138 UDP)

Desabilitar o suporte ao protocolo SMBv1 (support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windowsserver-2012 ).

Para computadores infectados:
Uma vez que os dados em disco foram criptografados é virtualmente impossível decriptar as informações sem a chave que seria oferecida pelos criminosos após o pagamento do resgate. O usuário deverá reinstalar o sistema operacional e recuperar arquivos armazenados em Backups

O sistema Windows traz, por padrão, um recurso chamado Volume Shadow Copy, que permite ao sistema realizar backups ou "snapshots" dos arquivos em um local especial no disco. Recuperar o último ponto de recuperação pode restaurar o sistema a um momento anterior à infecção.

7 LIÇÕES DO WANNACRY
O que o episódio nos traz de lições?

(01) Crescimento das ameaças cibernéticas
As ameaças crescem em termos de magnitude e agressividade. Com a expansão da conectividade, cada nova ameaça tem o potencial de infectar mais equipamentos.

(02) O cibercrime está crescendo
Essa nova ameaça também nos recorda que o cibercrime está evoluindo, pois cada vez mais as ameaças têm motivação financeira. Elas se tornam mais perigosas, porque as organizações criminosas que as orquestram têm cada vez mais recursos. Podem desenvolver "armas" sofisticadas e agir globalmente com elas.

(03) Impacto real nos negócios
Tornaram-se comuns, nos últimos dias, notícias de empresas que foram contaminadas e tiveram que sujeitar-se a pagar pelo resgate. Outras decidiram desligar seus computadores. Nos dois casos, torna-se claro o impacto em termos de custo (seja pelo pagamento do resgate ou, pior, pela perda de produtividade).

(04) Prevenção é fundamental e começa com pequenas coisas
A vulnerabilidade é conhecida há pelo menos dois meses, quando a Microsoft publicou um boletim recomendando a atualização dos sistemas Windows para corrigi-las. Um trabalho de Gerenciamento de Patchs, complementado de Gerenciamento de Vulnerabilidades, teria evitado a dor de cabeça. Realizar cópias de segurança frequentemente é outra prática bastante corriqueira, que ajuda em situações de ransomware. São conceitos simples, mas que precisam ser realizados de forma consistente, com processo, ferramentas e pessoal treinado.

(05) Microssegmentar a rede
A utilização de ferramentas para microssegmentação reduz o estrago. Ao isolar sistemas por microssegmentos, a movimentação lateral realizada pelo malware é contida e ele não contamina uma grande quantidade de equipamentos na rede. Opte pela microssegmentação por software, focando inicialmente em sistemas mais críticos. Isso vai permitir adoção rápida, sem impacto na arquitetura da rede e com custo reduzido. A médio e longo prazo, a técnica vai aumentar a segurança e permitir a simplificação da rede ao reduzir a complexidade de firewalls internos e segmentação via VLANs.

(06) Monitoração de comportamento de malware
A cada momento surgirão novas ameaças, as quais serão desconhecidas por ferramentas tradicionais de segurança, que trabalham com assinaturas e padrões de malware conhecidos. A utilização de ferramentas de correção de eventos é um controle necessário, mas não o suficiente. Preparar-se para o malware novo requer um SOC (Centro de Operações de Segurança) mais inteligente, que identifique comportamentos anômalos, mesmo quando for um ataque novo com assinatura desconhecida. No caso do WannaCry, a comunicação pela porta do SMB, o comportamento de movimentar-se lateralmente dentro da rede, e o endereço de seu "mestre" que tenta contatar, são indícios típicos de que algo estranho está acontecendo e permitiu ao SOC inteligente detectar a nova ameaça a tempo.

(07) Resposta a incidentes
Uma vez detectada a nova ameaça, requer-se pronta resposta. Respostas automáticas ou manuais poderiam bloquear tráfego suspeito e eliminar, da rede, equipamentos contaminados. A utilização de uma Arquitetura de Segurança Adaptativa é recomendada para responder de modo dinâmico, mudando a arquitetura de subredes à medida que contaminações são identificadas. Um exemplo é colocar em quarentena os equipamentos contaminados e evitar que os mesmos contaminem outros.

Leia a revista

Carregando...