O pior ataque cibernético da história-O que fazer e como se proteger



O PIOR ATAQUE CIBERNÉTICO DA HISTÓRIA O QUE FAZER E COMO SE PROTEGER

Devido ao caos que o WannaCry causou em 116 países, resolvi trazer as informações publicadas pelo blog Avast sobre o pior ataque cibernético da história o que fazer e como se proteger.

Não se pode encarar o ambiente digital como era a dez anos atrás, antes do estouro da internet e da computação em nuvem.

Hoje a maioria maciça dos computadores e dispositivos móveis se conecta a internet e, por extensão, a internet se conecta a eles, deixando dados e arquivos cada vez mais expostos a ação de hackers e malwares.

O texto abaixo é uma adaptação do artigo original “WannaCry: dicas sobre o que fazer e como se proteger depois do pior ataque ransomware da história (atualização)”.

O PIOR ATAQUE CIBERNÉTICO

Achei de grande utilidade publica, por isso transcrevi para esse artigo com pequenas alterações com objetivo de informar meus leitores.

Atualização de informações sobre o WannaCry: quem foi afetado, quem eram os alvos, como removê-lo e muito mais.

Sugiro que você leia também outro artigo desse blog relacionado “O futuro das redes sociais” para se inteirar da vulnerabilidade nas redes sociais.

Veja se você também foi afetado pelo WannaCry.

QUEM FOI AFETADO,QUEM ERAM ALVOS,COMO REMOVE-LOS

Ainda que a sexta-feira passada não era sexta-feira 13, parece que foi.

Computadores em todo o mundo, incluindo os de hospitais e agências governamentais, foram alvo do ransomware WannaCry (também chamado WanaCrypt0r ou WCry), criando o caos.

Até o momento, acompanhamos mais de 250.000 detecções em 116 países.

Isto significa que mais de 250.000 usuários do Avast foram atingidos pelo ransomware, mas foram protegidos já que o Avast impediu que o ransomware infectasse os computadores.

A situação se acalmou e podemos concluir que foi o maior ataque ransomware da história.

Cerca de 15% dos mais de 400 milhões de usuários do Avast não corrigiram a falha do Windows (MS17-010) que os deixava vulneráveis a este ataque.

Na tarde de sexta-feira (12 de maio de 2017), mais de 50.000 usuários do Avast foram alvo do ransomware.

No início da madrugada de sábado, o número de detecções já havia crescido a mais de 100.000.

Por onde o WannaCry andou

Vemos abaixo um gráfico mostrando as ondas de detecção subindo e baixando.

O Avast detecta todos os componentes do WannaCry.

Não somente as variantes incluídas no worm (vetor de infecção), mas também aquelas que simplesmente criptografam os arquivos e desaparecem, sem infectar outros computadores.

worm é quem determina como o WannaCry se espalha (veja explicação abaixo).

Alguns pesquisadores dizem que a disseminação acabou, mas isso só é verdade para esta variante do WannaCry que se espalhou com este worm específico.

Detectamos cerca de 10.000 ataques por hora logo após a crise, o que é realmente um número alto para uma simples família de malware.

Depois que um pesquisador de malwares apertou o botão de desligar (veja adiante neste artigo).

O número de detecções diminuiu significativamente até atingir 2.000 por hora, no início da noite de sexta-feira.

O número dos ataques vem diminuindo desde aquele momento e esperamos que esta tendência continue assim.

Os 10 países mais atingidos, de acordo com os nossos dados, são: Rússia, Ucrânia, Taiwan, Índia, Brasil, Tailândia, Romênia, Filipinas, Armênia e Paquistão.

Mais da metade das tentativas de ataque em toda a nossa base de usuários foi bloqueada na Rússia.

Quem eram os alvos do WannaCry?

WannaCry, como a maioria das outras linhagens de ransomwares, não tinha um alvo específico.

O ransomware usava o aplicativo Eternalblue, que se aproveitava da falha MS17-010 do Windows SMB (um protocolo de compartilhamento de arquivos em rede).

Portanto, o WannaCry escolhe seus alvos de forma aleatória entre todos aqueles computadores que não tinham essa falha corrigida pela atualização que a Microsoft lançou em Março.

O WannaCry se espalha de forma agressiva porque cada computador Windows conectado a uma rede onde exista a falha MS17-010 pode ser infectado sem que o usuário tenha de fazer nada.

O malware, uma vez ativo no computador, escaneia tanto as redes locais e escolhe endereços IP aleatoriamente.

Computador vulnerável

Cada vez que ele encontra um computador vulnerável, o ransomware também infecta aquele computador, porque o WannaCry contém um tipo de malware conhecido como worm.

Os usuários do Windows XP estavam sem nenhuma defesa contra o ataque.

A Microsoft deixou de dar suporte ao antigo sistema operacional em 2014.

Por isso, mesmo se os usuários do XP quisessem baixar a atualização, eles não podiam.

Depois do ataque, a Microsoft lançou uma atualização extraordinária para os sistemas operacionais mais antigos.

O Windows XP

Apesar de o Windows XP ser o mais vulnerável, pois não dispunha de uma correção antes de o ataque ter sido executado.

A maioria das tentativas de infecção ocorreram em sistemas como o Windows 7.

Em computadores onde a atualização de segurança existente não havia sido instalada.

Nós recomendamos para quem ainda não o fizeram, incluindo aqueles que usam uma antiga versão do sistema operacional Windows, que baixem e instalem essa atualização.

Grandes empresas, como a Telefonica e o Deutsche Bahn foram afetadas pelo ataque.

Mas, o que foi ainda pior, hospitais em todo o mundo também foram afetados.

Os hospitais frequentemente não dispõem de orçamento para manter os seus sistemas atualizados.

Por isso, foram severamente atingidos na sexta-feira, o que afetou gravemente o atendimento dos pacientes.

Removendo o Wannacry

Remover o WannaCry de um computador não é difícil, os antivírus devem ser capazes de remover o ransomware e enviar os arquivos maliciosos para a quarentena.

Mas isso não resolve o problema: os arquivos permanecem criptografados.

No momento, não existe uma ferramenta de descriptografia disponível e, com base na nossa análise, a criptografia utilizada parece muito forte (AES-128 combinada com RSA-2048).

A melhor solução para um computador infectado é recuperar os arquivos de um backup, se estiver disponível.

Você deve fazer isto em um computador que não estiver infectado, com todas as atualizações instaladas.

Para sua segurança, faça essa recuperação sem estar conectado à internet ou a uma rede interna.

E para minimizar o risco de que também os arquivos de backup sejam criptografados.

O interruptor

Um pesquisador, conhecido no Twitter como MalwareTech, descobriu um “interruptor” que bloqueou a disseminação da variante mais comum do WannaCry.

Não se sabe ao certo por que existe um interruptor.

Acreditamos que ele tenha sido incluído no ransomware caso o grupo por trás do WannaCry quisesse bloqueá-lo.

O interruptor funciona da seguinte forma: se o WannaCry faz um pedido a um domínio específico, por exemplo, www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com.

Em seguida recebe uma resposta, mostrando que o domínio está disponível (não pertence a ninguém).

Então o código do malware simplesmente termina e ele não se espalha mais.

Antes de que o interruptor fosse ativado, o domínio não havia sido registrado e o WannaCry podia se espalhar livremente.

Em outras palavras, pense no interruptor como o freio de mão do seu carro.

Você pode utilizá-lo em casos de emergência, para parar o seu carro, mas você não pode utilizá-lo para controlar o seu carro em situações normais.

A mesma coisa acontece com um interruptor: ele pode parar imediatamente a disseminação do malware.

Repare que o interruptor somente bloqueia a disseminação da variante do WannaCry, mas não resolve o problema daqueles que já tiveram o seu computador infectado.

Os componentes internos

Além disso, os componentes internos do WannaCry, como a parte que criptografa os arquivos, não depende da função worm.

Por isso, não é controlada pelo interruptor e pode continuar a causar danos.

Por isso, se você se deparou com o próprio ransomware, vindo, da cópia de arquivos de um computador infectado através de um pendrive, você ainda pode ser infectado.

Desde que o interruptor foi acionado, a disseminação do WannaCry caiu significativamente.

Contudo, notamos que pelo menos outras seis variantes do WannaCry contém outros interruptores (utilizam outro endereço de domínio ou URL).

Já detectamos inclusive várias variantes onde o “interruptor” foi removido.

O que significa que os criminosos por trás dessas variantes desejam que suas versões continuem a se espalhar de forma incontrolável.

Com base nas semelhanças entre as variantes, pensamos que as últimas versões são modificações da variante original do WannaCry.

Provavelmente foram modificadas por outros grupos ou indivíduos.

Quanto os cibercriminosos lucraram

O resgate exigido pelo WannaCry estava entre 300 e 600 dólares (sendo que 300 dólares = 0,17222 Bitcoins) e os valores cresceram ao longo do tempo.

A ameaça que o ransomware faz dizendo que irá apagar os arquivos criptografados se o resgate não for pago em sete dias é falsa.

Monitoramos os endereços de pagamento de Bitcoin que foram utilizados pelo grupo por trás do ataque e houve mais de 260 pagamentos, gerando um total de 41 BTC.

Isto significa aproximadamente 70.000 dólares, o que não é muito considerando o estrago que causou.

Contudo, à medida em que o temporizador na janela do WannaCry avança, diminuindo o tempo disponível para que as vítimas paguem o resgate antes que percam seus dados.

Provavelmente veremos mais pagamentos dentro de um ou dois dias.

Recomendamos firmemente que não seja pago o resgate.

Porque não há garantias de que seus arquivos sejam descriptografados, e isso anima os autores do ransomware a lançar novas campanhas.

Parece o WannaCry, age como ele, mas não é ele

Assim que o WannaCry se tornou “popular”, outros cibercriminosos começaram a se aproveitar da agitação para ganhar os seus trocados.

Começamos a detectar vários aplicativos de baixa qualidade que queriam se passar pelo WannaCry, como o que aparece abaixo:

Conclusões

Estávamos no reconhecido CARO workshop sobre antivírus, em uma conferência sobre um ransomware recente, o Spora, que também se disseminava via worm.

Durante o workshop, conversávamos com pesquisadores de outras empresas sobre as últimas tendências e os desafios dos últimos anos, como o Loveletter e o Blaster.

Todas as lembranças terminaram subitamente quando o Wannageddon aconteceu.

É difícil descrever a agitação em que ficamos todos para lutar contra essa ameaça.

No final do dia já tinha ficado evidente que estávamos diante do pior ataque de ransomwares da história.

Já há especulações sobre a origem do ataque e já há outras ameaças utilizando os mesmos métodos de infecção.

Para ter a proteção necessária, sem a necessidade de altos investimentos em ferramentas de segurança da informação, leia o Manual de Cibersegurança Jurídica.

Notas:

Esse artigo foi útil para você? Compartilhe, comente ou critique, dê o seu like.

Curta a página Renda extra online no Facebook.

Cadastre-se para ser avisado de novas publicações.

Fonte: Esse artigo foi compilado e adaptado do Avast blog como informação de utilidade pública.

vianello

Julio Vianello é empreendedor digital desde 2013. Acredita que o marketing digital é um mercado em expansão e seu objetivo é ajudar as pessoas a ter seu espaço no mundo digital através de um negócio próprio e rentável.

Website: http://www.virtualsucesso.com

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *