domingo, 14 de maio de 2017

WCRY: Um dos maiores ataques cibernéticos da história


Na última sexta feira (12 de maio) aconteceu um ataque em massa que derrubou sistemas computacionais e computadores de diversas empresas no mundo, inclusive no Brasil e na cidade de Salvador. Pequenas, médias e grandes empresas foram afetadas. Nas máquinas infectadas apareceram mensagens pedindo resgate para que seus sistemas fossem reativados e seus dados devolvidos. O pagamento para o resgate foi requisitadas para serem feitas por meio do Bitcoin – moeda digital irrastreável.




O ataque acontece por meio de worm, que se autorreplica através da rede infectando computadores sem que haja participação dos usuários. Este worm normalmente é enviado através de e-mail e nele há um código malicioso, conhecido como ransomware, que bloqueia os dados pelo atacante, que só liberam mediante pagamento. Chamado de WannaCry, este ransomware ataca máquinas com Windows vulneráveis (estima-se 75% em todo o mundo).
Segundo a Trend Micro, o Ransomware WannaCry ou WCRY parece estar se aproveitando da vulnerabilidade da Microsoft (MS17-010 - "Eternalblue") associada ao lançamento das ferramentas Shadow Brokers.
Ao baixar o arquivo infectado, a vulnerabilidade é explorada e um arquivo é baixado para que então seja executado como um serviço no sistema. Em seguida, é baixado um arquivo com ransomware para o sistema afetado, os arquivos são criptografados e a extensão “.WNCRY” é inserida.

Arquivos de diferentes extensões (até 166 extensões), incluindo aquelas comumente usadas pelo Microsoft Office, bancos de dados, arquivos de compactação e backup, arquivos de multimídia e várias linguagens de programação podem ser afetados com o WCRY.





Para espalhar o código malicioso para outros sistemas, o WCRY usa o arquivo que foi baixado anteriormente e executa como um serviço no Windows, com o nome " Microsoft Security Center (2.0) ". Este serviço procura outros compartilhamentos SMB (protocolo de rede utilizado para compartilhamento de arquivo) na rede e utiliza a vulnerabilidade EternalBlue para se espalhar para outros sistemas.



Como se proteger? 

Para ficar mais seguro, atualize o Windows e o antivírus de sua máquina.

Ninguém está imune, sem a devida proteção! É bom destacar que, nossos clientes que utilizam as soluções de proteção contra vulnerabilidades (Vulerabillity Protection, para estações de trabalho, e Deep Security para servidores) já estavam protegidos desde de Março e por conta disso não foram afetados. Destacamos que, em muitos casos o antivírus não é suficiente para se proteger desses tipos de ataques e são necessárias outras medidas e soluções de segurança. Acreditamos que a estratégia de proteção em camadas é a melhor forma.



Tem dúvidas ou precisa de ajuda? Fale com a gente!

Deixe seu Contato

Nós ligamos para você!