Na última sexta feira (12 de maio) aconteceu um ataque em massa que derrubou sistemas computacionais e computadores de diversas empresas no mundo, inclusive no Brasil e na cidade de Salvador. Pequenas, médias e grandes empresas foram afetadas. Nas máquinas infectadas apareceram mensagens pedindo resgate para que seus sistemas fossem reativados e seus dados devolvidos. O pagamento para o resgate foi requisitadas para serem feitas por meio do Bitcoin – moeda digital irrastreável.
O ataque acontece por meio de worm, que se autorreplica através da rede infectando computadores sem que haja participação dos usuários. Este worm normalmente é enviado através de e-mail e nele há um código malicioso, conhecido como ransomware, que bloqueia os dados pelo atacante, que só liberam mediante pagamento. Chamado de WannaCry, este ransomware ataca máquinas com Windows vulneráveis (estima-se 75% em todo o mundo).
O ataque acontece por meio de worm, que se autorreplica através da rede infectando computadores sem que haja participação dos usuários. Este worm normalmente é enviado através de e-mail e nele há um código malicioso, conhecido como ransomware, que bloqueia os dados pelo atacante, que só liberam mediante pagamento. Chamado de WannaCry, este ransomware ataca máquinas com Windows vulneráveis (estima-se 75% em todo o mundo).
Segundo a Trend Micro, o Ransomware WannaCry ou WCRY parece estar se aproveitando da vulnerabilidade da Microsoft (MS17-010 - "Eternalblue") associada ao lançamento das ferramentas Shadow Brokers.
Ao baixar o arquivo infectado, a vulnerabilidade é explorada e um arquivo é baixado para que então seja executado como um serviço no sistema. Em seguida, é baixado um arquivo com ransomware para o sistema afetado, os arquivos são criptografados e a extensão “.WNCRY” é inserida.
Arquivos de diferentes extensões (até 166 extensões), incluindo aquelas comumente usadas pelo Microsoft Office, bancos de dados, arquivos de compactação e backup, arquivos de multimídia e várias linguagens de programação podem ser afetados com o WCRY.
Imagem 1 – Diagrama de infecção (Fonte: http://blog.trendmicro.com/trendlabs-security-intelligence/massive-wannacrywcry-ransomware-attack-hits-various-countries/)
Imagem 2 – Mensagem de resgate (Fonte: http://blog.trendmicro.com/trendlabs-security-intelligence/massive-wannacrywcry-ransomware-attack-hits-various-countries/)
Para espalhar o código malicioso para outros sistemas, o WCRY usa o arquivo que foi baixado anteriormente e executa como um serviço no Windows, com o nome " Microsoft Security Center (2.0) ". Este serviço procura outros compartilhamentos SMB (protocolo de rede utilizado para compartilhamento de arquivo) na rede e utiliza a vulnerabilidade EternalBlue para se espalhar para outros sistemas.
Imagem 3 – Serviço do Windows associado com o WCRY (Fonte: http://blog.trendmicro.com/trendlabs-security-intelligence/massive-wannacrywcry-ransomware-attack-hits-various-countries/)
Como se proteger?
Para ficar mais seguro, atualize o Windows e o antivírus de sua máquina.
Ninguém está imune, sem a devida proteção! É bom destacar que, nossos clientes que utilizam as soluções de proteção contra vulnerabilidades (Vulerabillity Protection, para estações de trabalho, e Deep Security para servidores) já estavam protegidos desde de Março e por conta disso não foram afetados. Destacamos que, em muitos casos o antivírus não é suficiente para se proteger desses tipos de ataques e são necessárias outras medidas e soluções de segurança. Acreditamos que a estratégia de proteção em camadas é a melhor forma.
Tem dúvidas ou precisa de ajuda? Fale com a gente!
