WannaCry: O rescaldo de um ataque relâmpago
Num momento tudo parecia estar bem, no momento a seguir parecia que o mundo estava a ruir. No espaço de algumas horas surgiram relatos de organizações, de diferentes segmentos de negócio, que estavam a ser afetadas por um ataque de ransomware sem precedentes.
Era sexta-feira, dia 12 de maio. O alarido mediático que se gerou em torno da situação acabou por se justificar: nos dias seguintes um total de dez mil empresas, 200 mil utilizadores e 150 países foram afetados pelo ataque WannaCry. O nome está relacionado com o software malicioso, o Wanna Decrypt, que deu origem a toda esta situação.
Temia-se que a chegada da segunda-feira trouxesse novas vagas de vítimas, mas isso acabou por não acontecer. O porta voz da Europol, Jan Op Gen Oorth, confirmou à Agence France Press que “o número de vítimas parece não estar a subir e por agora a situação está estável na Europa, o que é um sucesso”.
Continuam a existir muitos dados desconhecidos como a origem do ataque, a pessoa ou pessoas que estiveram por trás dele e os verdadeiros danos financeiros provocados pelo WannaCry. Mas agora que já existem mais informações, fazemos um rescaldo da situação.
O que aconteceu?
Na sexta-feira passada foi lançada uma forte campanha de ransomware em todo o mundo. O software malicioso foi distribuído através de uma falha de segurança nos sistemas operativos Windows.
No ecrã das vítimas surgia um pop-up que pedia um resgate em bitcoins equivalente a 275 euros e um contador de tempo – caso o tempo fosse ultrapassado, a quantia do resgate subia; se o resgate não fosse pago, os ficheiros seriam corrompidos a título definitivo.
O ataque afetou computadores Windows que não tinham as mais recentes atualizações de segurança. A Microsoft tinha corrigido a falha EternalBlue – aquela explorada pelo ransomware WannaCry – em março deste ano, mas muitos computadores não estavam atualizados.
A gravidade do ataque foi de tal ordem que a Microsoft decidiu abrir uma exceção e criou uma atualização de segurança para o Windows XP e para o Windows Server 2003, dois sistemas já descontinuados e que já perderam o suporte oficial da tecnológica norte-americana.
Como aconteceu?
Já no decorrer de 2017 um grupo de piratas informáticos que dá pelo nome de Shadow Brokers conseguiu aceder a informação confidencial da Agência Nacional de Segurança dos EUA (NSA na sigla em inglês). Os ficheiros viriam a ser publicados online algumas semanas mais tarde, contendo informações de técnicas usadas pela NSA, assim como falhas exploradas pela organização.
A Microsoft corrigiu o problema na sua atualização mensal de março, mas para que a correção seja válida é necessário que os computadores estejam atualizados. Os piratas informáticos decidiram explorar a vulnerabilidade, mesmo sabendo que já tinha sido corrigida.
O software malicioso foi desenhado por forma a comportar-se como um worm. Isto quer dizer que bastava infetar um computador dentro de uma organização, para depois conseguir espalhar-se pela restante rede interna – motivo pelo qual muitas empresas decidiram desligar os seus sistemas mesmo não tendo ainda sinais de que pudessem ter sido afetadas.
Quem foi afetado?
Acima já referimos os números divulgados pela Europol no que diz respeito ao ataque informático. Mas houve empresas de grande perfil que foram afetadas por este ataque.
Em Portugal só a PT Portugal confirmou ter sido afetada pelo WannaCry. Várias outras empresas – EDP, NOS, BCP, Vodafone, CGD, SIBS – negaram ter sido vítimas do ataque, mas em alguns casos admitiram ter desligado os sistemas internos justamente para evitar possíveis contaminações, como avançou o Observador.
Os Serviços Partilhados do Ministério da Saúde (SPMS) também emitiram uma circular na qual afirmavam que o acesso ao email pelas instituições do Serviço Nacional da Saúde / Ministério da Saúde estava condicionado desde a passada sexta-feira. Nessa mesma nota era ainda definido que todos os computadores deviam ser desligados de dia 14 para dia 15 de maio.
Esta manhã o coordenador do Centro Nacional de Cibersegurança, Pedro Veiga, disse à TSF que o impacto do ataque na Administração Pública portuguesa foi extremamente limitado. O responsável escusou-se a revelar que entidades públicas foram atingidas, tendo dito que o caso está a ser investigado pela Polícia Judiciária e que por isso está em segredo de justiça.
Fora de Portugal a lista de organizações afetadas envolve a espanhola Telefónica, a francesa Renault, a norte-americana FedEx e o Serviço Nacional de Saúde de Inglaterra, no Reino Unido.
Quem foram os responsáveis?
Até ao momento ainda não foram avançados possíveis responsáveis para o ataque, nem o mesmo foi reivindicado por grupos de piratas informáticos.
Em que situação estamos neste momento?
Desde sexta-feira que o ransomware WannaCry tem recebido muita luta. Por um lado o mediatismo do caso já terá feito com que mais pessoas acautelassem a segurança dos seus dispositivos, procedendo às atualizações necessárias.
A Microsoft foi muito rápida a responder ao problema e também já disponibilizou uma correção crítica para os sistemas Windows XP e Windows Server 2003.
Poucas horas depois do ataque, um perito em segurança informática que dá pelo nome de MalwareTech encontrou uma forma de bloquear a disseminação do ransomware – comprou o domínio que o software malicioso usava para validar uma ligação à internet. Desde então já surgiram pelo menos mais duas variantes do WannaCry.
A Europol dá a situação como controlada na Europa, mas da China chegaram relatos de que o início de segunda-feira trouxe mais um grande número de vítimas.
Como posso ficar seguro?
Recentemente vimos como o malware é um dos grandes perigos para as empresas neste momento. Não existindo técnicas 100% eficazes, existem algumas ações do lado dos utilizadores que podem ajudar a mitigar problemas de segurança informática.
O primeiro conselho é manter todos os software atualizados, seja o sistema operativo ou o browser que usa para navegar na internet. Cada atualização traz melhorias de performance ou novas funcionalidades, mas por norma também serve para ‘tapar buracos’ que existem ao nível da segurança informática.
No caso do ransomware também é um conselho válido ter uma cópia de segurança de todos os seus dados e num sistema que de preferência não esteja ligado à fonte principal – pode ser um disco externo por exemplo. Desta forma mesmo que os seus dados fiquem bloqueados, depois poderá proceder a uma reinstalação do software e recuperar os dados através do backup em disco.
Publicado em:
AtualidadePartilhe nas Redes Sociais