Blog

WannaCry (e a segunda onda)

Written by Felipe Antoniazzi | 16/mai/2017 19:30:00

Nos últimos dias presenciamos o que pode ter sido o maior ciberataque já realizado. Conhecido como WannaCry este malware trouxe impactos a instituições de todos os segmentos e transformou-se em notícia na imprensa de todo o planeta.

O QUE JÁ SE SABE?

  • Este ransomware explora uma vulnerabilidade do Microsoft Windows SMB Server (Boletim de Segurança da Microsoft - MS17-010), para se propagar por todo o ambiente.
  • Apesar de muitos acreditarem que o vírus se utilizou de e-mails phishing para se espalhar pelo mundo, na prática, a velocidade do spread deu-se por causa da capacidade de infecção do vírus. Ao infectar uma máquina, o WannaCry realiza um scan na rede interna e tenta espalhar-se por todo o ambiente. Ao realizar tal ação, o vírus encontra os equipamentos vulneráveis e o ataque torna-se de natureza exponencial.
  • A primeira versão possuía um mecanismo de segurança (kill switch) que, basicamente, consulta o domínio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, e se este domínio respondesse de forma positiva, o ataque era interrompido. Um pesquisador analisando a estrutura de comando e controle do ransomware, achou estranho a comunicação para tal domínio e resolveu registrar. Quando o registro foi realizado o ataque foi interrompido.
  • Apesar do problema ter aparentemente sido resolvido, com o registro do domínio, rapidamente o ransomware evolui para uma nova versão sem kill switch.
  • Os ataques têm como origem uma rede TOR, logo, é pouco efetivo realizar bloqueios via IP de origem do ataque.


RECOMENDAÇÕES

  1. O primeiro e mais importante passo é realizar as atualizações de segurança de todo o parque Microsoft, principalmente as descritas no boletim MS17-010. Dadas as proporções do ataque, inclusive, a Microsoft lançou correções para sistemas operacionais descontinuados como, por exemplo, o XP. É possível encontrar tais atualizações no catálogo de update da Microsoft MS17-010.
  2. Em seguida, garanta que seu antivírus esteja com a vacina mais recente do fabricante. De toda forma, ressaltamos que é indispensável que seu ambiente esteja sempre com a última versão do dia, considerando a rápida possibilidade de evolução do malware. Crie regras de bloqueio nos EndPoints, para que não seja permitida execução de macro via pacote Office do Windows.
  3. Garanta que seus backups estejam atualizados, funcionando corretamente e armazenados fora do alcance de possíveis infecções.
  4. E, por fim, monitore, em tempo real, o link de internet para que seja detectada qualquer anomalia no ambiente.


O tsunami ainda não acabou.