Na última sexta-feira (12) a internet foi surpreendida por um ataque de ransomware, batizado de WannaCry, que afetou centenas de países e várias empresas enormes. Um ransomware, como já falei aqui, é um sequestro digital, em que os dados da vítima são criptografados por um hacker, que pede uma quantia em dinheiro para resgate das informações.

Os relatos apontam que tudo começou na Europa, principalmente na Espanha. Os computadores foram afetados por uma falha no Server Message Block (SMB) do Windows, protocolo responsável pelo compartilhamento de arquivos no sistema. Por meio do SMB, um invasor pode enviar códigos maliciosos para o computador e executar remotamente esse código.

Dessa forma, é fácil fazer a infecção se propagar: cria-se um malware para bloquear os arquivos de um computador e pedir resgate (ransomware) e, já que muitos computadores de empresas funcionam em rede, o código malicioso é espalhado facilmente. Quando você vê, toda a empresa está refém de um invasor.

Imagem divulgada pelo portal de notícias JOTA.

Imagem divulgada pelo portal de notícias JOTA.

A imagem acima mostra a tela que o usuário se deparava quando tentava mexer no computador. Os hackers pediam US$ 300 por máquina infectada, quantia válida por três dias. Caso o pagamento não fosse feito, o valor seria dobrado e o prazo se estendia por mais três dias. Se ainda assim os hackers não recebessem o dinheiro, os arquivos seriam apagados.

Os ataques de ransomware são tão delicados como um sequestro na vida real. No mundo digital, ainda que o usuário pague o resgate, o retorno dos arquivos não é garantido. Além disso, muitos arquivos podem conter dados financeiros, ou de clientes, que podem trazer um prejuízo maior à empresa do que pagar o valor de uma vez por todas.

O especialista em segurança digital Troy Hunt conseguiu os endereços de Bitcoin para qual as vítimas poderiam mandar o dinheiro. São três, que já somam mais de R$ 174 mil ― relativamente pouco para um ataque dessa magnitude. Vale lembrar que os pagamentos são feitos em Bitcoin, uma criptomoeda que torna bem difícil saber para onde o dinheiro está indo.

Quantas pessoas foram afetadas?

No momento em que escrevo este post, já foram mais de 200 mil computadores afetados em 150 países, como informa a BBC. Eis uma lista das principais empresas infectadas:

  • Telefónica (Espanha e Brasil). A dona da Vivo e maior empresa de comunicações na Espanha foi uma das principais afetadas. Segundo o El Mundo, 85% dos computadores da empresa foram infectados e o montante do resgate chegaria a 509 mil euros, cerca de R$ 1,72 milhão. No Brasil, vários funcionários da Vivo ficaram sem trabalhar na sexta.
  • National Health Service (NHS), o sistema de saúde pública do Reino Unido. Os hospitais do NHS foram bem prejudicados: seus computadores foram afetados, prejudicando a comunicação interna e o atendimento telefônico. Cirurgias e exames foram cancelados e os pacientes foram orientados a evitar a visita aos hospitais, se possível. Informações da Wired.
  • Tribunal de Justiça (TJ-SP) e Ministério Público (MP-SP), ambos de São Paulo. Segundo o portal de política JOTA, os dois órgãos de justiça tiveram seus computadores invadidos e determinaram o desligamento de todas as máquinas do Estado ainda na tarde de sexta-feira (12).
  • Previdência Social (INSS). Segundo o jornal O Globo, o Dataprev, responsável pela previdência social, desligou preventivamente os sistemas no INSS porque foram encontrados incidentes pontuais em alguns computadores. Segundo o órgão, essa semana o sistema deve ser normalizado.

De acordo com o Serviço Europeu de Polícia (Europol), que cuida de 28 países, o ataque por sua escala foi sem precedentes e avisou às empresas para tomar cuidado porque mais computadores poderiam ser afetados nesta semana do dia 15 de maio.

wannacry

Dados atuais do MalwareTech que mapeiam a infecção mostram que sua magnitude já foi bem reduzida, como você pode ver na imagem acima. É possível acompanhar o mapa do malware neste site.

Como interromperam o WannaCry (por ora)

Um dos motivos pelo qual a escala do ransomware diminuiu nos últimos dias foi a descoberta do MalwareTech, dono de um blog especializado em segurança. Ele viu que o WannaCry tentava se conectar a um domínio (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) que não existia ― era isso que mantinha o funcionamento do ransomware. O fato do domínio não existir funcionava como uma permissão para o malware se propagar.

Foi descoberto, então, que esse domínio era um killswitch que, quando ativado, impedia o malware de se propagar. Ao registrar o domínio, MalwareTech viu que a propagação parou na hora. Mas ele avisa: mais variações do WannaCry podem usar outros domínios ou ter um novo killswitch, então nem tudo está salvo.

Protegendo-se. A correção para a falha no SMB já existe desde o dia 14 de março. Nesta página, a Microsoft dá informações sobre a atualização de segurança MS17-010 e nessa aqui você pode encontrar o link para download para os sistemas Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 e R2, Windows RT 8.1, Windows 10 e Windows Server 2016.

A dimensão do ataque foi tanta que uma atualização foi lançada para sistemas que já perderam o suporte, como Windows XP, Windows 8 e Windows Server 2003. Em último caso, você pode desativar o SMB na sua máquina caso não dê para atualizar o sistema.

O que o ataque significa?

Estamos em 2017. Como algo dessa magnitude aconteceu? Justamente: no mundo digital, temos a ilusão que, se nada parece fora do lugar, estamos seguros. O sistema operacional pode não estar na última versão, mas continuar funcionando muito bem. O ditado “não se mexe em time que está ganhando” é bem presente no dia a dia da tecnologia e faz que não nos atentemos a problemas que podem ser bem graves.

bigstock-133376972

Como aponta Troy Hunt, as empresas falham bastante em deixar o software em dia. Claro, é uma tarefa difícil por conta de vários programas desenvolvidos para sistemas específicos, ou por ter que treinar pessoal a se adaptar com um sistema novo. Mas essa “economia” vale o risco de perder todos os seus arquivos em um ataque sem precedentes?

Outra tática que Hunt diz que agrava o problema é não fazer backups da maneira certa. Por exemplo, a preocupação com a recuperação de arquivos sequestrados não seria tanta se o backup estivesse em dia ― e seguro. Claro que uma estratégia errada, como fazer o backup de arquivos corrompidos sem querer, pode inutilizar a proteção.

Segundo Hunt, o ideal é usar a estratégia 3-2-1. No total, ter três backups dos seus dados, com dois locais e em meios diferentes (como em HDs externos) e um offsite, como em um serviço de armazenamento em nuvem especializado (como o CrashPlan).

Eu sei, pode parecer meio antiquado fazer backup em HDs quando a nuvem é tendência. Mas empresas grandes, que armazenam terabytes de informações que são atualizadas todos os dias não podem depender só da nuvem. Se upload ficou incompleto e algo der errado, o backup já foi comprometido.

Com esse caso, também aprendemos que o teste de software existe não só para testar um produto ou sistema que tem algo de errado, mas principalmente para testar o que aparentemente não tem nenhuma falha. Imagina se um teste na Telefônica acusasse que os computadores estão sem uma atualização marcada como crítica pela Microsoft?

Chegamos a um ponto em que a segurança digital é determinante para a sua empresa ou negócio. Saiba como se proteger: me mande um e-mail em bruno.abreu@sofist.com.br ou ligue em (19) 3291-5321 para mais informações.