O dia amanheceu tenso em boa parte do mundo, consequência do mega ataque de ransomware iniciado ontem, afetando operações em portos de Mumbai a Los Angeles e interrompendo a produção de uma fábrica de chocolate na Austrália.
Segundo a agência de notícias Reuters, acredita-se que o vírus começou a agir na Ucrânia, onde infectou computadores silenciosamente depois que usuários baixaram um pacote de declaração de imposto popular ou visitaram um site de notícias local.
Especula-se que mais de 30 vítimas pagaram o resgate, mas especialistas em segurança estão questionando se a extorsão é o objetivo, dada a soma pequena exigida, ou se os hackers tiveram motivações destrutivas, ao invés de buscarem um ganho financeiro. Segundo a McAfee , até ontem, houve 31 transações e cerca de US $ 8.000 pagos via Bitcoin.
Petya e WannaCry: semelhanças e diferenças
Desde o início do ataque, diversos especialistas comparam o ataque atual ao do mês passado, quando o ransomware WannaCry fez mais de 200 mil vítimas em 150 países ao redor do mundo. Na opinião deles, ambos são bastante similares principalmente pela vulnerabilidade explorada e forma de exigir o resgate das informações.
Assim como o WannaCry, o malware explorou brechas de sistemas desatualizados para propagar os ataques. Segundo Marcio Kanamaru, diretor geral da McAfee no Brasil, a cepa Petya / Petrwrap de ransomware foi detectada pela primeira vez por pesquisadores em março de 2016, mas revelou ontem alguns elementos novos.
“Semelhante a WannaCry, o Petya se espalha através do EternalBlue SMB exploit. No entanto, o Petya introduz mecanismos de disseminação adicionais para garantir sucesso. Ele rouba credenciais para comprometer máquinas adicionais, incluindo equipamentos que não possuem vulnerabilidades de software”, explica.
Richard Fortes, Sales Director Latin America da Watchguard, destaca outra diferença entre os dois ataques. “Está no tipo de criptografia. Uma vez que o anterior criptografava arquivos dentro do sistema operacional, este novo criptografa a raiz do disco, não permitindo acesso algum ao sistema, pois o mesmo já pede resgate ao ligar o equipamento”, ressalta Fortes.
Para Daniel Lemos, CEO da Real Protect, três vetores contribuíram para a rápida campanha de infecção do Ransomware. “O primeiro consistiu em uma campanha de phishing, onde um documento malicioso do Word infectava os usuários. O segundo, através de uma vulnerabilidade no software MeDoc, popular na Ucrânia, e, em terceiro, pelas vulnerabilidades divulgadas recentemente utilizadas pelo Petya, como o EternalBlue”.
Apesar de a Microsoft ter emitido a correção para o problema em todas as versões do Windows em março de 2017, ondas de ataques como o WannaCry e o Petya mostram que muitas empresas ainda não realizaram a instalação dos patches de segurança.
Impacto
Segundo Daniel Lemos, a Ucrânia foi o país mais atingido pela infecção, com mais de 12.500 detecções. Outros 64 países também foram atingidos, incluindo Bélgica, Brasil, Alemanha, Rússia e Estados Unidos.
Ao que se sabe, hoje as movimentações nos terminais portuários argentinos operados pela gigante estatal chinesa Cofco também foram afetadas. O dono da Maersk Line, maior transportadora de contêineres do mundo, disse que seus sistemas de informática estavam entre os afetados pelo ataque, causando problemas no processamento de pedidos e atrasando as cargas.
Dois terminais da APM em Rotterdam, porto mais movimentado da Europa, ainda estão fora de operação. Uma porta-voz disse que os efeitos adversos para o porto como um todo eram mínimos, com um ligeiro atraso nas operações. Já terminais operados pela companhia em Nova York, Barcelona e Mumbai também foram afetados.
“Não há como assegurar um número exato de locais afetados, mas o que sabemos é que a infecção não ficou concentrada apenas na Ucrânia, visto que a tendência é que cada vez mais os sistemas das empresas se tornem globais, como, por exemplo, com a migração de serviços para a cloud, seja ela pública ou privada”, explica o executivo da Real Protect.
Gestão crítica
“O WannaCry e o Petya mostram que empresas no mundo todo enfrentam um problema com a atualização de sistemas. Isso acontece porque muitas delas acabam se dedicando mais à resolução dos incidentes do que à prevenção desse tipo de ameaça ou à mitigação dos riscos”, explica o CEO da iBLISS Digital Security, Leonardo Militelli.
“A falta de processos está fazendo novas vítimas. Enquanto as companhias não tomarem consciência da real importância de contar com processos maduros de gestão de segurança, continuaremos a ver esses problemas”, explica o executivo da iBLISS.
Para ele, é preciso investir em programas de gestão de segurança para lidar com a complexidade cada vez maior do ambiente de TI, que acaba tornando a atualização das aplicações um desafio e gerando uma série de vulnerabilidades críticas.
Segundo o executivo da WatchGuard, uma das principais razões para a ascensão do ransomware está na ausência ou ineficiência na implantação de sistemas de segurança como Firewalls de múltiplas funções, capazes de impedir e combater esse tipo de ameaça. “As soluções precisam ainda ser implantadas com uma certa facilidade, uma vez que as empresas aceitam que sem a defesa não há como se prevenir”.
Novos riscos e recomendações
Na visão de Richard Fortes há a expectativa para novos ataques em série ou, pior, a certeza. “Não existe hoje empresa que não esteja na mira de ataques dos hackers, independentemente do tamanho e tipo de negócio”. Para Paulo Braga Rodrigues Craveiro, Sales Engineer da Arbor Networks, o risco é iminente, principalmente pelo fato de que a maioria dos clientes não efetua a atualização dos sistemas.
“Com a divulgação recente de novas vulnerabilidades de alto impacto, por grupos como o Shadow Brokers, aliada à sofisticação encontrada em ataques atuais, podemos afirmar que campanhas como as executadas por ambos Ransomwares serão cada vez mais comuns”, complementa Daniel Lemos.
Segundo Danny Allan, VP de Estratégia de Nuvem e Alianças da Veeam, o melhor remédio para uma falha de segurança é prevenção. “Backups offsite e offline mitigam os efeitos do ransomware e, combinados com a solução certa de segurança e o treinamento de conscientização dos funcionários, podem ajudar a prevenir completamente o problema”, afirma Allan.
Já a McAfee recomenda que todas as organizações corrijam essas vulnerabilidades, como a CVE-2017-0144 SMB do Windows. “Mas, se por algum motivo, elas não podem ser corrigidas, existem outras medidas que podem ser tomadas. É possível reconfigurar as máquinas para que não aceitem conexões para versões antigas do que chamamos de SMB e, portanto, protegeremos contra essa brecha”, explica Kanamaru.
*Com informações da agência Reuters.
