Em 2021 mais de 4 anos após sua criação, o ransomware WannaCry volta
a ser um pesadelo para órgãos governamentais e empresas privadas,
advertem os pesquisadores da Check Point. E há outro ponto complexo: os
ataques aos servidores Microsoft Exchange, mesmo com as atualizações de
correção, aumentaram em todo o mundo.
No caso do Wanna Cry, foi identificado um aumento de 57% no número de ataques de ransomware ao longo dos últimos seis meses, sendo que a quantidade de organizações impactadas globalmente por esse tipo de ameaça desde o início de 2021 foi de 13%. A maioria das cepas usadas é conhecida — além do WannaCry, também são usados os ransomwares de dupla extorsão, incluindo o Ryuk e o Maze (cujo código continua sendo usado, embora a gangue original tenha encerrado as atividades.
O que é, por que isso está acontecendo e como se defender contra o WannaCry e outros ransomware? Aqui estão 7 fatos dos quais as organizações devem estar cientes.
1. O que é WannaCry e como funciona?
WannaCry é um ransomware identificado pela primeira vez pelos pesquisadores de segurança MalwareHunterTeam , às 9h45 do dia 12 de maio. Ele também está sendo chamado de WanaCrypt0r 2.0, Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2.
Este ransomware explora uma vulnerabilidade conhecida no sistema operacional Microsoft Windows e acredita-se que esteja usando ferramentas desenvolvidas pela Agência de Segurança Nacional dos Estados Unidos (NSA) que vazaram por um grupo anônimo que se autodenomina “Shadow Brokers” em abril de 2017.
A infecção ocorre inicialmente por meio de uma porta SMB (Server Message Block) exposta de um computador e, em seguida, usa a vulnerabilidade para se espalhar para computadores aleatórios na Internet e, lateralmente, para computadores na mesma rede. Assim que o WannaCry toma conta do computador, ele criptografa os arquivos, bloqueia o usuário do computador e solicita um resgate.
2. Quem estava por trás do ataque?
A atribuição é complicada no mundo da guerra cibernética. O Shadow Brokers, que disse em abril ter roubado uma “arma cibernética” da NSA, está sendo parcialmente responsabilizado pelo ataque. A ferramenta de hacking, chamada “Eternal Blue”, dá acesso sem precedentes a todos os computadores que usam o Microsoft Windows. Ele havia sido originalmente desenvolvido pela NSA para obter acesso a computadores usados por terroristas e estados inimigos. É relatado que um grupo criminoso separado pode ter detectado esta oportunidade e atualizado a ferramenta para atacar os computadores em todo o mundo.
Alguns especialistas que examinaram o código encontraram pistas técnicas que disseram que poderiam ligar a Coreia do Norte ao ataque . A Symantec e a Kaspersky Lab disseram na segunda-feira que alguns códigos de uma versão anterior do software WannaCry também apareceram em programas usados pelo Lazarus Group, que pesquisadores de muitas empresas identificaram como uma operação de hacking da Coreia do Norte.
3. Quanto dinheiro eles estão pedindo e alguém já pagou?
Uma característica importante do ransomware de sucesso é que o resgate é geralmente uma quantia modesta – muito menos do que o custo de pagar a uma equipe de especialistas em segurança para tentar derrotar o ataque de criptografia. WannaCry está pedindo $ 300- $ 600 em criptomoeda Bitcoin para desbloquear o conteúdo dos computadores. Se as vítimas não pagarem rapidamente, existe a ameaça de que sejam exigidos pagamentos mais elevados.
4. O pagamento do resgate realmente desbloqueará os arquivos?
Às vezes, pagar o resgate funciona, mas às vezes não. Analistas de segurança dizem que mais de 200 das vítimas do WannaCry que prontamente pagaram o resgate recuperaram seus dados. No entanto, os especialistas em segurança cibernética desaconselham o pagamento do resgate, observando que, historicamente, apenas cerca de dois terços das vítimas de ransomware compatível recebem seus dados de volta após atender às demandas dos hackers. A Microsoft também declarou no FAQ do ransomware que “não há garantia de que a entrega do resgate dará a você acesso aos seus arquivos novamente. Pagar o resgate também pode torná-lo um alvo para mais malware. ”
5. O que a Microsoft fez para lidar com isso?
A Microsoft afirmou que já havia lançado uma atualização de segurança para corrigir a vulnerabilidade explorada pelo ransomware. Em 12 de maio de 2017, um porta-voz da Microsoft disse que seus engenheiros haviam fornecido serviços adicionais de detecção e proteção contra o ransomware WannaCry e que estava trabalhando com os clientes para fornecer assistência adicional. O porta-voz reiterou que os clientes que têm o Windows Updates habilitado e usam o software antivírus gratuito da empresa estão protegidos.
6. Vai continuar a se espalhar?
Um pesquisador de cibersegurança britânico descobriu um “interruptor de eliminação” que pode impedir temporariamente a disseminação do ransomware WannaCry. O pesquisador, tweetando como @MalwareTechBlog, disse que a descoberta foi acidental, mas que registrar um nome de domínio usado pelo malware impede que ele se espalhe.
No entanto, não demorou muito para que novas versões do WannaCry aparecessem depois que o código do interruptor de eliminação foi removido.
7. Como as organizações podem se proteger?
Depois que o ransomware criptografa seus arquivos, não há muito o que fazer. A primeira linha de defesa contra o WannaCry é instalar as atualizações de segurança do Windows mais recentes. Resolver a falha que permite a propagação desse vírus é vital.
Embora o WannaCry não pareça ter dependido de e-mails de phishing para se espalhar, a maioria dos vírus ransomware sim, então outra dica crucial é evitar abrir anexos suspeitos ou clicar em links misteriosos em e-mails.
Como o ransomware criptografa dados, a melhor defesa contra ataques de ransomware é manter bons backups de dados valiosos. No caso de ocorrer um ransomware, o sistema pode ser limpo e uma cópia de segurança dos dados pode ser restaurada. Backups de dados importantes devem ser mantidos protegidos de contaminação, portanto, a melhor estratégia de proteção é armazenar os dados de backup em vários destinos remotos e na nuvem.
Olhando para o futuro, haverá apenas mais organizações e indivíduos ameaçando ransomware em todo o mundo. Agora é imperativo que todos comecem a fazer backup de seus computadores para sobreviver às próximas ondas de ataques de ransomware. Envie-nos uma mensagem se quiser saber mais sobre como oferecer soluções de backup aos seus clientes.
Fontes: The Guardian , The San Diego Union Tribune , The Telegraph
Contato
Proteja já suas informações com o GBackup.
Conheça mais sobre nossa solução e receba um orçamento de acordo com sua necessidade.
Utilize os campos abaixo para entrar em contato com nossa equipe.
