Ransomware e o ataque global do dia 12 de Maio

O dia 12 de maio de 2017 foi marcado por uma série de ataques em escala global, fazendo uso de versão atualizada do crypto-ransomware WanaCrypt0r. Notícias e relatórios apontam que organizações públicas e privadas ao redor do mundo foram impactadas. O Brasil foi um dos 150 países que sofreu ataques, tendo serviços essenciais como: Previdência Social, Telefônica e Ministério do Trabalho, afetados pelos ataques. Reunimos aqui todas as informações que você precisa saber sobre como esse ataque ocorreu e como se proteger.

Como o ataque funciona: 

Os ataques WanaCrypt0r iniciam seu ciclo na organização através de um ataque de phishing via E-mail, que inclui um link ou documento PDF maliciosos. O ataque de phishing, obtendo sucesso, resulta na entrega do ransomware WanaCrypt0r na máquina local e, consequentemente, tenta espalhar-se em larga escala na rede utilizando protocolo SMB, atacando a vulnerabilidade ‘EternalBlue’ (CVE-2017-0144) em sistemas operacionais Microsoft. Essa vulnerabilidade foi corrigida pela Microsoft em março de 2017 com o patch MS17-010. 

No Reino Unido, um pesquisador conhecido pelo apelido Malware Tech conseguiu acidentalmente interromper a propagação do ataque. O pesquisador percebeu que o programa tentava contatar um endereço de internet incomum (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), que não estava registrado. Ele gastou o equivalente a R$35,00 para comprar esse endereço e percebeu que a operação de registro interrompeu o processo do programa de se propagar.

Infelizmente isso não significa que a ameaça foi afastada, nem garante proteção contra outras versões desse ataque. Os arquivos danificados pelo vírus ainda servem como meio de chantagem para os criminosos. Além disso, o Centro de Cibersegurança do Reino Unido (NCSC) acredita que uma segunda onda de ataques deve acontecer ainda nessa semana do dia 15 de Maio.

O meu computador pode ser afetado por esse ataque?

Essa vulnerabilidade foi publicamente divulgada pelo grupo Shadow Brokers em abril de 2017. De acordo com os especialistas, apenas computadores que não tenham passado pela atualização do Windows disponibilizada em março pela Microsoft, estão vulneráveis. Uma vez que o patch MS17-010 corrige uma vulnerabilidade remotamente explorável em um componente de rede que se encontra sob ataque, nós recomendamos fortemente tornar a implementação dessa atualização de segurança uma prioridade. Você pode verificar o status da sua versão facilmente, acessando o Painel de Controle e vendo se há atualizações disponíveis.

Como prevenir?

Vários componentes de um ambiente de segurança contribuem na prevenção contra este tipo de ameaça:

Sandbox – classifica todos os exemplares de código conhecidos como Malware, automaticamente bloqueando a entrega de conteúdo malicioso aos usuários.

Threat Prevention – emprega assinaturas de IPS contra a exploração de vulnerabilidade (CVE-2017-0144 – MS17-010) utilizados: vulnerabilidade SMB – ETERNALBLUE.

URL Filtering – bloqueia todas as URLs conhecidas de Comando e Controle: hxxp://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com.

Host IPS – previne a execução do malware WanaCrypt0r nos endpoints.

• Ferramentas de investigação – rastreia e monitora a ameaça para fornecer analytics e mineração da ameaça via WanaCrypt0r tag.

User VPN – as organizações podem estender sua política de Firewall Next-Generation para proteger colaboradores remotos e força-los a navegar na Internet através de seu link na Internet.

A hora de se proteger é agora. Entre em contato conosco e fique protegido contra essa e outras ameaças que assolam as organizações diariamente.

Deixe um comentário

O seu endereço de e-mail não será publicado.

Enviar mensagem
Fale com o nosso especialista
Olá, como podemos ajudar?