Como provavelmente saberás, na sexta-feira ocorreu um incidente de ransomware sem precedentes nos hospitais do NHS. Segundo consta, foi detectado em cerca de 100 países e afectou cerca de 75 000 máquinas (e estes números continuavam a aumentar à data da impressão).

Para ajudar, pensámos em reunir uma anatomia de como ocorreu, recolhida a partir de uma série de fontes diferentes, para te ajudar a compreender melhor como ocorreu e como se tornou tão generalizada tão rapidamente.

Mas, primeiro, esperamos que tenhas conseguido ligar o teu computador hoje sem que este tenha sido infetado por malware, uma vez que muitos milhares de pessoas em todo o mundo não terão a mesma sorte. Vale a pena avisar os teus amigos e colegas com Windows que é importante que os seus sistemas estejam totalmente corrigidos com a atualização de segurança “MS17-010” – https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Sensibilização por correio eletrónico

É provável que todo este ataque tenha começado com um ataque de spam. Várias agências noticiosas informaram que o malware que desencadeia o ransomware foi instalado depois de um utilizador ter aberto um documento do Word que continha macros.

Para aqueles de nós que estão envolvidos no espaço da cibersegurança, estes ataques são comuns. No entanto, este é único pela forma como se generalizou. O ataque continuou durante o fim de semana, com os meios de comunicação estatais chineses a informarem que 29.000 instituições em toda a China tinham sido infectadas pelo ciberataque global de ransomware. Na segunda-feira de manhã, o Governo Federal da Austrália confirmou que empresas privadas foram afectadas pelo ataque de ransomware.

O anexo da desgraça!

Assim, quando o e-mail chega e o utilizador abre os documentos anexados, é o fim do jogo!

Podem ter acontecido várias coisas:

Em primeiro lugar, é provável que, uma vez lançado, o malware se tenha reenviado para todos os contactos da lista de contactos de e-mail dos utilizadores. Esta é uma das razões pelas quais o malware pode viajar tão longe, tão rapidamente.

Depois, o malware instala-se na máquina local. Provavelmente, isto também terá despoletado o ransomware na máquina local. Esta variante particular de ransomware tem vários nomes – WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY. Encripta todos os ficheiros locais que puder e exibe um ecrã como este:

A ideia é que, uma vez que a encriptação é feita, o utilizador tem de pagar para voltar a ter acesso aos seus ficheiros. O valor solicitado é de 300 dólares. Se não pagares em 72 horas, o valor duplica. E se não pagarem dentro de uma semana, os ficheiros serão todos apagados. Claro que, tal como acontece com todo o ransomware, não há garantia de que o pagamento resulte na desencriptação dos ficheiros. O pagamento deve ser feito com Bitcoins – para mais informações sobre esta moeda digital , vê aqui

EternalBlue

Não deixes que o nome te engane, o nome EternalBlue deve estar a meter medo a muitas organizações neste momento. No passado, a Agência de Segurança Nacional dos Estados Unidos encontrou uma falha em certas versões do Microsoft Windows que lhes permitia aceder à máquina remotamente e instalar software. Numa reviravolta bizarra, no início deste ano, a própria NSA foi pirateada e os hackers descobriram detalhes desta falha e de uma série de outras. Assim que isto se tornou público, a Microsoft lançou um patch para todas as versões suportadas do Windows.

No entanto, existem várias versões para as quais não foram lançados patches, nomeadamente o Windows XP e o Windows Server 2003. O malware que chegou na sexta-feira passada foi capaz de analisar a rede das organizações em busca de máquinas que estivessem a executar estas versões não suportadas do Windows e, em seguida, usar este exploit (com o nome de código ‘EternalBlue’) para se instalar através da rede na máquina detectada, encriptando assim essa máquina.

Esta técnica é outra das razões pelas quais o problema se propagou tão rapidamente. É também a principal razão pela qual o NHS foi tão duramente atingido. O NHS é conhecido por utilizar software e sistemas operativos desactualizados – mesmo para alguns dos seus sistemas mais cruciais.

Uma última coisa a mencionar. Deves ter lido os relatórios sobre o “herói acidental” que conseguiu impedir que mais máquinas fossem infectadas. Parece que, antes de o ransomware entrar em ação e encriptar as máquinas, faz o “check-in” com um domínio da Internet. O domínio é “www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”.

Essencialmente, o vírus verifica se o site está ativo e, se estiver, o vírus sai em vez de infetar a máquina. Este parece ser um interrutor que os piratas informáticos incluíram para lhes permitir acabar com a campanha de ransomware se fosse necessário. O domínio acima nunca foi registado e, por isso, o sítio Web não estaria ativo. Mas um analista de segurança registou o domínio (por uma taxa de 8 libras), o que fez com que o site passasse a existir e, assim, o ransomware não infectará mais nenhuma máquina.

No entanto, os hackers podem fazer pequenos ajustes no seu código e lançar o ransomware novamente sem este kill switch. Os efeitos disso podem ser muito mais devastadores do que o que vimos na sexta-feira.

Só o tempo dirá se esses ataques aumentam ou se já vimos o pior do EternalBlue. No entanto, os ataques de phishing continuarão a ocorrer. Para evitar que a tua empresa seja apanhada num incidente global no futuro, podes querer investir no nosso software especializado de simulação de phishing –  MetaPhish que aumenta a sensibilidade dos teus empregados a e-mails fraudulentos. Também temos um curso de eLearning Essential Phishing Awareness que aborda a forma de identificar corretamente um phishing e o que fazer quando detecta um.  

Fala connosco hoje para obteres mais informações sobre como podes salvar a tua organização de um ataque de phishing.