Ações, Ações na Arena

Ataques derrubam sistemas de empresas e hospitais na Europa; hackers pedem resgate

juros_bolsa_inflação_dólar_cambio_investimentos_internet_telefonia_mercados

Um grande ataque cibernético atingiu diversos países europeus nesta manhã, paralisando grandes empresas e serviços públicos. Na Espanha, a Telefónica, e em Portugal, a Portugal Telecom, mandaram seus funcionários desligarem seus computadores e não liga-los até que o problema fosse solucionado. A Telefônica chegou a dispensar os empregados enquanto tenta recuperar os dados. Empresas de energia, como a Eletricidade de Portugal (EDP) também foram atingidas.

No Reino Unido, mais de uma dúzia de hospitais públicos e clínicas foram afetados pelos hackers, obrigando as organizações a cancelarem os exames e atendimentos, limitando os serviços a emergências. A alternativa das empresas têm sido derrubar seus sistemas até que uma solução para a invasão seja identificada.

O ataque está sendo feito por um programa malicioso chamado ramsonware, que bloqueia os arquivos e exige um pagamento em troca da liberação dos dados, explica Jakub Kroustek, líder da equipe do laboratório de ameaças na Avast. O pagamento normalmente é feito em moedas digitais, como os Bitcoins, que têm um vasto mercado negro e permitem ao hacker receber e gastar o resgate sem ser identificado.

Resgate de € 300 por computador

Os responsáveis pelo ataque exigem pagamento de resgate até o dia 19 de maio sob a ameaça de apagar todos os dados criptografados pelo malware. De acordo com o El País, para desbloquear o acesso aos dispositivos, a empresa deveria pagar o equivalente a $300 dólares em Bitcoins por máquina.

Segundo Krousteck, “nós observamos na Avast um pico maciço de ataques do  WanaCrypt0r 2.0 hoje, com mais de 36.000 detecções, até agora”, afirma. A maioria dos ataques de hoje está direcionada para a Rússia, Ucrânia e Taiwan. “Este ataque, mais uma vez, prova que o ransomware é uma poderosa arma que pode ser usada contra consumidores e empresas”.

O especialista diz que, recentemente, a empresa observou grandes variedades de ransomware sendo entregues por meio de documentos maliciosos do Office, que contêm macros (programas executáveis), enviados via e-mail, bem como por meio de kits de exploração. Se a contaminação do ransomware é via anexo de email, um documento do Office malicioso precisa ser aberto e, em seguida, as macros tem de ser habilitadas para que o ransomware seja baixado.

No caso do ransomware infectar via um “exploit” (programa que toma o controle do computador aproveitando-se de uma vulnerabilidade), normalmente um site malicioso é visitado e, em seguida, um computador com uma vulnerabilidade ainda não detectada (zero day) é usado para a infecção.

Vai sair caro

Para Kroustek, o impacto financeiro do ataque à Telefônica deve ser significativo, e vai muito além do resgate exigido pelos hackers. Segundo informações, 85% dos computadores da empresa foram afetados e a Telefonica pediu que os funcionários desligassem seus computadores e voltassem para casa, o que deve ter sérias consequências financeiras para a empresa.

A Telefonica não deve levar muito tempo para remover o ransomware, mas se a empresa não tiver o backup dos arquivos dos funcionários, pode demorar um pouco antes que serem recuperados caso estejam criptografados pelo ransomware, diz o especialista.

O que fazer

A recomendação para prevenção  é aplicar a atualização nos sistemas operacionais Windows, diz Fernando Amatte, gerente de segurança da informação da CIPHER, empresa especializada em serviços de cibersegurança. “Recomenda-se a aplicação e reinicialização mesmo de servidores de missão crítica, já que o impacto operacional da parada para atualização será menor do que aquele causado pela ameaça”, afirma.

O consultor também recomenda desligar a internet imediatamente e fazer a gestão de ativos, de vulnerabilidades, patches e atualizações. Além de garantir que somente as portas de comunicação necessárias em servidores e computadores estejam expostas na internet.

Vírus chinês?

A origem do ataque ainda não foi confirmada, mas fontes próximas à Telefónica apontam que se trata de uma ação de cibercriminosos na China.

A força do ataque, segundo a CIPHER, se dá porque ele tem a capacidade de “worm”, que pode se multiplicar através dos ambientes e computadores de maneira autônoma e com grande facilidade. O ataque de hoje foi causado por uma versão do ransomware WannaCrypt, que aproveita uma vulnerabilidade crítica no sistema operacional Windows e permite a execução de código remoto.

A falha de segurança está no serviço de proteção contra malware do sistema operacional, que permite interceptar e inspecionar toda a atividade de leitura e escrita de arquivos e dados do sistema. O acesso do malware permite acesso à máquina da vítima com privilégios administrativos.

A falha, explica a CIPHER, foi publicada através do CVE-2017-0290 (cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0290) e fez com que a Microsoft publicasse um “patch” (atualização) de emergência no Microsoft Security Advisory 4022344. Quase todas as versões do Windows podem ser afetadas e as atualizações devem ser realizadas imediatamente.

É possível acompanhar a propagação do malware em tempo real através de um site publicado pela Intel em intel.malwaretech.com/WannaCrypt.html.

Artigo AnteriorPróximo Artigo
Receba nossas novidades no seu e-mail.
Enviar