Milhares de computadores afetados pelo ransomware

Empresa / Noticias / Milhares de computadores afetados pelo ransomware
Milhares de computadores afetados pelo ransomware

Milhares de computadores afetados pelo ransomware

Foi o maior e mais rápido ataque de ransomware até agora registado, e na passada sexta-feira paralisou milhares de empresas e instituições em todo o mundo, incluindo em Portugal. Um golpe de sorte salvou-nos de um enorme pesadelo, mas nada garante que não se replique. Microsoft aponta o dedo à NSA.

O alarme em Portugal ocorreu na Portugal Telecom por volta das 12:30 de sexta-feira, com ordem para “desligar tudo”.

Mas foi o jornal espanhol El País que, sensivelmente à mesma hora, informa que a primeira empresa afetada foi a multinacional Telefónica, nos seus escritórios centrais, e que quase imediatamente o ataque se tinha espalhado a um enorme conjunto de grandes empresas clientes, e também para a Portugal Telecom.
O ataque tinha na verdade começado por volta das 8:00h UTC de acordo com os registos no Cisco Umbrella.

E em 2 horas 45.000 afetados

O que inicialmente ninguém parecia entender era o motivo da velocidade da propagação; uma infeção por phishing ou spam mail não se propaga assim tão rapidamente.

“Nunca tínhamos visto nada parecido”, disse Rob Wainwright, chefe da Europol, numa entrevista este domingo ao canal britânico ITV. Adiantou também temer que o número de vítimas continue a aumentar “quando as pessoas voltarem ao trabalho na segunda-feira e ligarem os computadores”.

E o “nada parecido” foi a velocidade fulminante de duas vagas inicias registadas no Malware Tech Monitor, a primeira ao final da manhã de sexta e a segunda ao final da tarde.

Como se propagou ?

Como se propaga tão depressa, e porque parece só afetar alguma grandes empresas era a pergunta.

Em declarações ao IT Channel, Dinis Fernandes, Executive Manager, CyberSafe explica:"O ransomware package era já conhecido, uma vez que já existia uma primeira versão do WannaCry. A grande diferença para esta nova versão foi a capacidade de movimentação lateral, infetando todas as máquinas na mesma rede com a vulnerabilidade do SMBv1. Num ransomware tradicional o impacto era pontual – apenas o utilizador que abriu o ficheiro do e-mail de phishing ou que fez clique num link desse e-mail ficava infetado. Neste caso basta um utilizador da rede ficar infetado para a infeção alastrar por todas as máquinas Windows na rede que tenham a vulnerabilidade SMBv1."

Ainda de acordo com Dinis Fernandes, o malware WannaCry incorpora dois componentes: um worm e um ransomware package. “O worm aparentemente utiliza os exploits ETERNALBLUE e DOUBLEPULSAR, que fazem parte do “arsenal” de hacking tools da NSA e foram “leaked” há poucas semanas atrás, e que utiliza a vulnerabilidade MS17-010 Microsoft Server Message Block 1.0 (SMBv1) para se disseminar rapidamente para outras máquinas Windows que estejam na mesma rede.”

Microsoft fez patch inédito

Num movimento inédito, a Microsoft lançou no sábado um patch de segurança que cobre sistemas operativos já não suportados como o Windows XP, assim como para o Windows Vista, Windows 8 e Windows Server 2003, numa tentativa de travar o avanço do malware que naquele momento já contabiliza mais de 150 países atingidos.

A Microsoft sentiu-se pressionada este fim de semana a tomar uma posição pública face ao facto da vulnerabilidade do SMB, com Brad Smith, President and Chief Legal Officer da Microsoft a dizer que "é necessário que o setor tecnológico, os clientes e os governos trabalhem em conjunto para se protegerem contra ataques de cibersegurança".

Estas são as afirmações em comunicado oficial, dado que o executivo terá ainda afirmado que a culpa da NSA pelo leak da sua ferramenta de espionagem é:
"- equivalente ao Exército Americano não saber onde para um míssil Tomahawk".

No sábado, em comunicado enviado às redações, a Kaspersky Lab veio confirmar que a propagação se fez pelo SMBv2, cuja vulnerabilidade era conhecida desde 14 de março por ação do grupo hacker Shadowbrokers.

Fonte: