2017-5-12

SEGURANÇA

Tudo sobre o maior ataque de sempre de ransomware

Foi o maior e mais rápido ataque de ransomware até agora registado, e na passada sexta-feira paralisou milhares de empresas e instituições em todo o mundo, incluindo em Portugal. Um golpe de sorte salvou-nos de um enorme pesadelo, mas nada garante que não se replique. Microsoft aponta o dedo à NSA.

Tudo sobre o maior ataque de sempre de ransomware

A evolução do ataque de acordo com a Malware Tech às 21:00 de sexta-feira 12

O alarme em Portugal ocorreu na Portugal Telecom por volta das 12:30 de sexta-feira, com ordem para “desligar tudo”.

Mas foi o jornal espanhol El País que, sensivelmente à mesma hora, informa que a primeira empresa afetada foi a multinacional Telefónica, nos seus escritórios centrais, e que quase imediatamente o ataque se tinha espalhado a um enorme conjunto de grandes empresas clientes, e também para a Portugal Telecom.
O ataque tinha na verdade começado por volta das 8:00h UTC de acordo com os registos no Cisco Umbrella.

Segundo Javier Martín da S21Sec, em declarações ao jornal, para além da Portugal Telecom, a Caixa Geral de Depósitos e o BPI estavam a ser atacados –“embora não admitam,” declara.

Às primeiras horas do ataque, fonte da Polícia Judiciária (PJ) indicou ao IT Channel que  ainda não se estava perante “um cenário de crime” e que a informação era "ainda muito recente", havendo por isso "muita especulação”. Confirmou, no entanto, que a origem terá sido efetivamente “num operador de telecomunicações em Espanha”. 

Por essa altura a PJ já havia feito circular uma mensagem de prevenção junto das entidades envolvidas e setores críticos. Na mensagem, segundo o que o IT Channel conseguiu apurar, foram transmitidas medidas de mitigação.

Na verdade, é difícil saber ao certo ainda qual foi a dimensão em Portugal, porque as empresas tendem a ocultar as suas fragilidades do público. Mas muitos serviços foram afetados, tais como o homebanking do Millenium BCP, que afirma não ter sido atacado mas ter implementado medidas preventivas que afetaram o serviço, ou simplesmente porque os responsáveis de IT de muitas empresas optaram na sexta-feira por desligar serviços como o e-mail e esperar pela clarificação do modo de propagação.

Na tarde de sexta-feira “choviam” notícias de todo o lado sobre o ataque, sendo possivelmente a mais impressionante a reportada pela BBC, que relata que vários hospitais em Londres estavam a desativar as suas urgências por terem ficado sem sistema informático, e os doentes reencaminhados para outras unidades ainda  operativas.

Nunca vamos saber quem pagou ou não os 300 euros por máquina “raptada”,  sendo que o último estudo da IBM assegura que em 70% dos raptos empresariais os resgates acabam por ser pagos nas 24 horas seguintes.
 

E em 2 horas 45.000 afetados

O que inicialmente ninguém parecia entender era o motivo da velocidade da propagação; uma infeção por phishing ou spam mail não se propaga assim tão rapidamente.

“Nunca tínhamos visto nada parecido”, disse Rob Wainwright, chefe da Europol, numa entrevista este domingo ao canal britânico ITV. Adiantou também temer que o número de vítimas continue a aumentar “quando as pessoas voltarem ao trabalho na segunda-feira e ligarem os computadores”.

E o “nada parecido” foi a velocidade fulminante de duas vagas inicias registadas no Malware Tech Monitor, a primeira ao final da manhã de sexta e a segunda ao final da tarde. 

Como se propagou ?

Como se propaga tão depressa, e porque parece só afetar alguma grandes empresas era a pergunta.

Em declarações ao IT Channel, Dinis Fernandes, Executive Manager, CyberSafe explica:"O ransomware package era já conhecido, uma vez que já existia uma primeira versão do WannaCry. A grande diferença para esta nova versão foi a capacidade de movimentação lateral, infetando todas as máquinas na mesma rede com a vulnerabilidade do SMBv1. Num ransomware tradicional o impacto era pontual – apenas o utilizador que abriu o ficheiro do e-mail de phishing ou que fez clique num link desse e-mail ficava infetado. Neste caso basta um utilizador da rede ficar infetado para a infeção alastrar por todas as máquinas Windows na rede que tenham a vulnerabilidade SMBv1."

Ainda de acordo com Dinis Fernandes, o malware WannaCry incorpora dois componentes: um worm e um ransomware package. “O worm aparentemente utiliza os exploits ETERNALBLUE e DOUBLEPULSAR, que fazem parte do “arsenal” de hacking tools da NSA e foram “leaked” há poucas semanas atrás, e que utiliza a vulnerabilidade MS17-010 Microsoft Server Message Block 1.0 (SMBv1) para se disseminar rapidamente para outras máquinas Windows que estejam na mesma rede.”


Microsoft fez patch inédito

Num movimento inédito, a Microsoft lançou no sábado um patch de segurança que cobre sistemas operativos já não suportados como o Windows XP, assim como para o Windows Vista, Windows 8 e Windows Server 2003, numa tentativa de travar o avanço do malware que naquele momento já contabiliza mais de 150 países atingidos.

A Microsoft sentiu-se pressionada este fim de semana a tomar uma posição pública face ao facto da vulnerabilidade do SMB, com Brad Smith, President and Chief Legal Officer da Microsoft a dizer que "é necessário que o setor tecnológico, os clientes e os governos trabalhem em conjunto para se protegerem contra ataques de cibersegurança".

Estas são as afirmações em comunicado oficial, dado que o executivo terá ainda afirmado que a culpa da NSA pelo leak da sua ferramenta de espionagem é:
"- equivalente ao Exército Americano não saber onde para um míssil Tomahawk".

No sábado, em comunicado enviado às redações, a Kaspersky Lab veio confirmar que a propagação se fez pelo SMBv2, cuja vulnerabilidade era conhecida desde 14 de março por ação do grupo hacker Shadowbrokers. 

Para Nuno Mendes da ESET , o vetor de ataque inicial mais provável e de acordo com informação interna do fabricante poderá ter sido phishing, mas a propagação horizontal por SMB não deveria ter ocorrido - "esta vulnerabilidade foi corrigida já este ano pela Microsoft mas sabemos que muitas empresas tardam a atualizar ficando assim expostas a este tipo de ataques." 

 

A velocidade de propagação dos últimos ataques na tarde de sexta-feira de acordo com o site Maleware Tech

O golpe de “sorte” e um herói acidental

Quando no sábado à tarde a propagação parecia não ter fim, iniciou-se inexplicavelmente um abrandamento de novas infeções. Um investigador inglês da área da cibersegurança de 22 anos, membro da equipa do site Malware Tech, cuja única identidade publicamente conhecida é a conta de Twitter @malwaretechblog, detetou que o ransomware fazia um pedido a um URL inexistente e lembrou-se de o registar para ver se isso ajudaria a Malware Tech a monitorar mais rapidamente o ataque. Quando ficou disponível, entraram 5.000 pedidos por segundo, utilizados para melhorar o mapeamento, mas o jovem informático não se apercebeu imediatamente que uma resposta do servidor ao pedido era na verdade o sinal para o malware se desligar (kill switch).


Manter o alerta total e prevenir

Como afirma o diretor da Europol Rob Wainwright, ninguém sabe o que vai acontecer esta segunda-feira, quando milhões de PCs empresariais forem ligados.

Para Dinis Fernandes, o problema está longe de estar resolvido:“Para já a ameaça foi aparentemente neutralizada, mas isto não significa que as organizações estejam seguras. São esperadas mais variantes de ransomware nos próximos dias que utilizem a vulnerabilidade SMBv1 para se disseminarem lateralmente.” 
 

Nelson Silva , Technical Manager da CyberSafe deixa as seguintes recomendações:

  1. A utilização de uma solução de proteção de email baseada em comportamentos e não apenas em assinaturas e que permita bloquear emails de phishing com conteúdo malicioso através da análise do seu comportamento.
  2. A utilização de uma solução de endpoint security baseada em comportamentos e não apenas em assinaturas e que permita bloquear executáveis ou processos em memória maliciosos através da análise do seu comportamento, o que permite bloquear ameaças com zero-day exploits ou zero-day vulnerabilities e que não são detetados pelos antivírus tradicionais.
  3. Implementar as recomendações da Microsoft para mitigar a vulnerabilidade MS17-010 (SMBv1):  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  4. Restringir o tráfego no porto TCP 445 (SMB) ao que é absolutamente necessário utilizando router ACLs
  5. Utilizar host-based firewalls para limitar as comunicações internas no porto 445 (SMB)
  6. Utilizar VLANs privadas
  7. Reforçar junto dos colaboradores mensagens de security awareness em relação a e-mails de phishing

 

Às 9: 00h de segunda-feira 15 de maio, o WCRYPT tinham atingido um total de 200.000 infeções, mas apenas 400 máquinas estavam ativas, incluindo atividade na região de Lisboa.

Terça-Feira 16 de Maio o Centro Nacional de Cibersegurança desativou o alerta por considerar que o nível de ameaça já não era crítico.

NOTICIA ATUALIZADA QUARTA-FEIRA 09:00H

Recomendado pelos leitores

Mercado de SASE cresce 31% em 2023
SEGURANÇA

Mercado de SASE cresce 31% em 2023

LER MAIS

Empresas portuguesas já utilizam soluções de cibersegurança com IA
SEGURANÇA

Empresas portuguesas já utilizam soluções de cibersegurança com IA

LER MAIS

Ciberameaças aumentam investimentos em cibersegurança das empresas europeias
SEGURANÇA

Ciberameaças aumentam investimentos em cibersegurança das empresas europeias

LER MAIS

IT CHANNEL Nº 105 MARÇO 2024

IT CHANNEL Nº 105 MARÇO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.