Recursos/White Papers

Notícias

Mega ataque de ransomware iniciado na Europa se espalha rapidamente

Sistemas de companhias telefônicas e serviços públicos foram sequestrados. Cibercriminosos exploram uma falha que ficou conhecida após o vazamento de ferramentas usadas pela NSA

Da Redação, com Computerworld/EUA

Publicada em 12 de maio de 2017 às 16h09

Um ataque de ransomware parece estar se espalhando pelo mundo, explorando uma ferramenta de hacking que pode ter vindo da Agência de Segurança Nacional dos EUA. O ransomware, chamado Wanna Decryptor, atingiu hospitais no National Health Service da Inglaterra nessa sexta-feira, 12/5, derrubando parte de sua rede.

Mais de 15 organizações ligadas ao Serviço Nacional de Saúde (NHS) da Inglaterra relataram ter sido alvo de ataques de ransomware nesta sexta, o que ocasionou o cancelamento de operações e o desvio de ambulâncias.

Com isso, profissionais teriam ficado sem acesso aos sistemas do serviço. Eles ainda alegam ter recebido mensagens em que os criminosos exigem o pagamento de um resgate de cerca de US $ 300 a US $ 600 em Bitcoin para liberar os arquivos, ameaçando excluí-los após um período definido de dias se o montante não for pagopara liberar o acesso.

Na Espanha, a equipe do Centro Criptológico Nacional, CCN-CERT, também alertou sobre um "ataque maciço", em meio a relatos de que a empresa de telecomunicações local Telefonica foi atingida. 

Funcionários da Telefonica reportaram que foram orientados a desligar seus computadores. E que o problema teria afetado também os sistemas da seguradora espanhola Mapfre, do banco BBVA e até alguns funcionários da Telefonica no Brasil - funcionários de outras empresas brasileiras também relatam ter sido atingidos pelo ataque.

Em nota, a Telefônica Brasil "informa que seus serviços não foram afetados pelo incidente. A empresa informa também que os dados dos clientes estão absolutamente seguros e que eles podem continuar usando os serviços normalmente".

Como é o ataque
O ransomware, também conhecido como WannaCry, explora uma vulnerabilidade do Windows divulgada no mês passado quando ferramentas de hacking usadas pela NSA vazou na internet.

As ferramentas incluem uma invasão codinome EternalBlue que torna o seqüestro de sistemas Windows mais fácil. Destina-se especificamente ao protocolo Server Message Block (SMB) no Windows, utilizado para fins de compartilhamento de arquivos.

A Microsoft já corrigiu a vulnerabilidade, mas apenas para sistemas Windows mais recentes. Os antigos, como o Windows Server 2003, não são mais suportados, mas ainda são amplamente utilizados entre as empresas, de acordo com especialistas em segurança.

Isso pode ter animado os hackers. O desenvolvedor do Wanna Decryptor parece ter adicionado as supostas ferramentas hackers da NSA ao código do ransomware, disse Matthew Hickey, diretor do provedor de segurança, em um e-mail.

A empresa de segurança Avast disse ter detectado o ransomware atacando principalmente a Rússia, Ucrânia e Taiwan. Mas, no meio da tarde, no Brasil, o ataque já havia se espalhado por todos os continentes. 

mapaMalwareTech

A empresa de pesquisa de segurança MalwareTech criou uma página de monitoramento dos ataques. Eles parecem ter ido para todo o mundo.

De acordo com a empresa de segurança Kaspersky, 74 países já foram afetados e somam mais de 45 mil ocorrências. "E as cifras continuam aumentando inusitadamente", disse Costin Raiu, diretor da Equipe de Pesquisa e Análise Global da Kaspersky, no Twitter.

O ransomware Wanna Decryptor ataca criptografando todos os arquivos em um PC infectado, juntamente com qualquer outro sistema na rede onde o PC está conectado. Em seguida, exige um resgate.

Os dados são criptografados com a extensão ".WCRY" adicionada aos nomes de arquivo.

Segundo a Kaspersky, as extensões de arquivo que o malware está atacando são:

- Extensões de arquivo de escritório comumente usadas (.ppt, .doc, .docx, .xlsx, .sxi).

- Formatos de escritório menos comuns (.sxw, .odt, .hwp).

- Arquivos de mídia (.zip, .rar, .tar, .bz2, .mp4, .mkv)

- E-mails e bancos de dados de e-mail (.eml, .msg, .ost, .pst, .edb).

- Arquivos de banco de dados (.sql, .accdb, .mdb, .dbf, .odb, .myd).

- Arquivos de projeto e arquivos de projeto dos desenvolvedores (.php, .java, .cpp, .pas, .asm).

- Chaves de criptografia e certificados (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).

- Arquivos de designers gráficos, artistas e fotógrafos (.vsd, .odg, .raw, .nef, .svg, .psd).

- Arquivos de máquina virtual (.vmx, .vmdk, .vdi).

E ainda apaga vários "manuais do usuário" em diferentes idiomas: Búlgaro, chinês (simplificado), chinês (tradicional), croata, checo, dinamarquês, holandês, inglês, filipino, finlandês, francês, grego, indonésio, italiano, japonês, coreano, letão, norueguês, polonês, Russo, eslovaco, espanhol, sueco, turco e vietnamita.

Especialistas em segurança estão orientando as organizações a corrigirem  sistemas vulneráveis, atualizar para as versões mais recentes seus sistemas operacionais e fazer backups de arquivos críticos.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui