Nos últimos dias presenciamos o que pode ter sido o maior ciberataque já realizado. Conhecido como WannaCry este malware trouxe impactos a instituições de todos os segmentos e transformou-se em notícia na imprensa de todo o planeta.
O QUE JÁ SE SABE?
- Este ransomware explora uma vulnerabilidade do Microsoft Windows SMB Server (Boletim de Segurança da Microsoft - MS17-010), para se propagar por todo o ambiente.
- Apesar de muitos acreditarem que o vírus se utilizou de e-mails phishing para se espalhar pelo mundo, na prática, a velocidade do spread deu-se por causa da capacidade de infecção do vírus. Ao infectar uma máquina, o WannaCry realiza um scan na rede interna e tenta espalhar-se por todo o ambiente. Ao realizar tal ação, o vírus encontra os equipamentos vulneráveis e o ataque torna-se de natureza exponencial.
- A primeira versão possuía um mecanismo de segurança (kill switch) que, basicamente, consulta o domínio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, e se este domínio respondesse de forma positiva, o ataque era interrompido. Um pesquisador analisando a estrutura de comando e controle do ransomware, achou estranho a comunicação para tal domínio e resolveu registrar. Quando o registro foi realizado o ataque foi interrompido.
- Apesar do problema ter aparentemente sido resolvido, com o registro do domínio, rapidamente o ransomware evolui para uma nova versão sem kill switch.
- Os ataques têm como origem uma rede TOR, logo, é pouco efetivo realizar bloqueios via IP de origem do ataque.
RECOMENDAÇÕES
- O primeiro e mais importante passo é realizar as atualizações de segurança de todo o parque Microsoft, principalmente as descritas no boletim MS17-010. Dadas as proporções do ataque, inclusive, a Microsoft lançou correções para sistemas operacionais descontinuados como, por exemplo, o XP. É possível encontrar tais atualizações no catálogo de update da Microsoft MS17-010.
- Em seguida, garanta que seu antivírus esteja com a vacina mais recente do fabricante. De toda forma, ressaltamos que é indispensável que seu ambiente esteja sempre com a última versão do dia, considerando a rápida possibilidade de evolução do malware. Crie regras de bloqueio nos EndPoints, para que não seja permitida execução de macro via pacote Office do Windows.
- Garanta que seus backups estejam atualizados, funcionando corretamente e armazenados fora do alcance de possíveis infecções.
- E, por fim, monitore, em tempo real, o link de internet para que seja detectada qualquer anomalia no ambiente.
O tsunami ainda não acabou.