Na última sexta (12 de Maio), o Brasil acordou em meio a uma confusão cibernética. Lendo notícias como “Hackean la red interna de Telefónica y de otras grandes empresas espanolas“, “NHS cyber-attack: GPs and hospitals hit by ransomware” e “Identificado ataque de ransomware que afecta a sistemas Windows“, profissionais de TI e SI entraram em estado de alerta, enquanto usuários (corporativos e domésticos) entraram em desespero total (deixando alguns profissionais de TI e SI contaminados pelo desespero desses usuários).
Em poucas horas o ataque se espalhou e tomou uma proporção global. Com alertas de ataques também em países como Itália, Portugal, Rússia, China e Brasil, rapidamente o ataque se espalhou para mais de 70 países.
O que exatamente é esse ataque?
O ataque está sendo feito usando um ransomware conhecido como WannaCry (irônico esse nome, não?), infectando sistemas Windows através da vulnerabilidade MS17-010, divulgada em u ()m boletim crítico da Microsoft em 14 de Março deste ano. A vulnerabilidade permite execução remota de código, através do envio de mensagens para o serviço de compartilhamento de arquivos do Windows versão 1 (SMBv1).
O ransomware é um tipo de ataque de “sequestro de dados”, onde o atacante criptografa os arquivos da vítima, exigindo um resgate em troca da chave para descriptografar. No caso do WannaCry, ele exigia uma quantia de $300 nas primeiras 72h, subindo para $600 depois desse prazo, com um prazo máximo de 7 dias para efetuar o pagamento.
Ataques de ransomware não são novidades, a novidade foi a forma como este ataque foi disseminado. O WannaCry explora uma falha de rede para se disseminar, bastando um usuário da rede ser contaminado para, rapidamente, o ataque se espalhar pela rede. Outro ponto que chama atenção, e que dificulta a detecção e prevenção, é que o ransomware utiliza a rede TOR para se comunicar.
No meio da confusão, não é hora para ser criativo
É comum ouvir profissionais de segurança dizendo que “no meio da confusão, não é hora para ser criativo”, em outras palavras, a hora de se pensar em modos de prevenção e reação, não é no meio de um incidente. No calor da hora, muitas empresas determinaram que suas redes e máquinas fossem completamente desligadas, para evitar a contaminação. Seria essa a melhor opção? Acredito que não.
Como agir?
No meio de toda essa confusão, o melhor é manter a calma e seguir o plano (de resposta a incidente, recuperação de desastre, continuidade de negócio, etc). O ideal seria:
-
Isolar as máquinas afetadas (máquinas Windows)
Aplicar as correções (atualizar o Windows e desativar o SMBv1)
Atualizar softwares de proteção de endpoint
Em uma parada programada, de algumas horas, é possível contornar o problema. Não tem um plano? É hora de começar a montar um – depois de corrigir o problema!
Caso já tenha sido vitima do ransomware, verifique se já existem solução disponível (pelo seu fornecedor de solução de segurança, ou divulgada na internet) para descriptografar os arquivos, ou recuperar os dados do backup e reinstalar os sistemas.
Fabricantes como Symantec e Kaspersky já possuem vacina para o WannCry.
Leonardo Goldim: Empreendedor e coach. Consultor em segurança da informação e compliance, com foco em computação e nuvem. Possui mais de 10 anos de experiência em tecnologia e segurança da informação. Palestrante nos principais eventos da América Latina, é um profissional reconhecido pela sua colaboração com entidades da área, participando do desenvolvimento das principais certificações da área e boas práticas e padrões de mercado. É Diretor Executivo do IT2S Group, membro dos comitês CB21/CE27, CB21/CE38 e CEE139 da ABNT, da Comissão de Direito Digital e Compliance da OAB/SP, da Cloud Security Alliance, entre outras entidades.