Na sexta-feira, 12 de maio de 2017, a comunidade global testemunhou o início da maior infecção de ransomware da história, que afetou mais de 200 mil sistemas em 150 países. A montadora Renault fechou sua maior fábrica na França e os hospitais do Reino Unido tiveram de rejeitar pacientes. Já no Brasil, o ataque causou a interrupção do atendimento do INSS, além de afetar empresas e órgãos públicos de 14 Estados mais o Distrito Federal.
Nos dias após o ataque, os prejuízos foram se espalhando. O país mais afetado foi a Rússia, com 33,64% das empresas afetadas, seguido do Vietnã (12,45%) e Índia (6,95%). O Brasil foi o sexto mais atacado (4,06%).
A novidade deste ataque foi sua forma de propagação. Ele usou o exploit EternalBlue – vulnerabilidade no protocolo PMEs, divulgado semanas antes pelo grupo Shadowbrokers – que instalou o backdoor DoublePulsar, usado para injetar código maliciosos sem exigir interação com os usuários. Com computadores infectados, o WannaCry criptografou as informações e extorquiu as vítimas, pedindo resgate para recuperar suas informações.
O WannaCry mostrou como era fácil explorar uma vulnerabilidade conhecida para o Windows. Embora o patch já estivesse disponível, muitos administradores de sistemas perceberam tarde que sua rede estava exposta.
“Embora ainda haja dúvidas sobre as motivações por trás do ataque, as lições aprendidas pela indústria têm sido de grande valor e levaram a uma melhoria progressiva das medidas de segurança aplicadas em ambientes corporativos. O WannaCry deixou claro que a segurança de computadores deve ser um processo proativo e constante, com o pilar fundamental da aplicação dos patches do sistema operacional e a configuração correta das soluções antimalware”, diz Dmitry Bestuzhev, diretor da Equipe de Análise e Pesquisa da Kaspersky Lab para a América Latina.
Meses após a contenção do surto inicial, o WannaCry ainda estava reivindicando vítimas, incluindo a Honda, forçada a fechar uma de suas instalações. Apesar da disseminação do ataque, um ano depois, o exploit EternalBlue ainda é um vetor de infecção, não apenas para ransomware, mas também para outras infecções por malware. Isso se deve à falta de instalação dos patches correspondentes da Microsoft para fechar essas vulnerabilidades.
“O EternalBlue ainda está sendo usado por criminosos para distribuir malware e obter infecções maciçamente. Em alguns casos, é ransomware, mas em outros temos visto a proliferação de cryptominers, ou seja, um tipo de aplicativo cujo único objetivo é gerar moedas digitais como Bitcoin ou Monero. É interessante observar como, após um ano, ainda existem sistemas que não aplicaram as atualizações e ainda estão vulneráveis a esse tipo de ameaça”, acrescenta Santiago Pontiroli, analista de segurança da Equipe de Pesquisa e Análise Global da Kaspersky Lab.
De acordo com dados da Kasperksy Lab, aproximadamente 65% das empresas afetadas pelo ransomware durante o ano passado disse ter perdido acesso a uma quantidade significativa de dados ou até mesmo a todos. Um em cada seis daqueles que pagaram o resgate nunca recuperou seus dados.
A fim de abordar a crescente ameaça representada pelo ransomware em todo o mundo, especialistas da Kaspersky Lab recomendam que as empresas sigam as seguintes medidas:
- Verifique se o patch da Microsoft que fecha esta vulnerabilidade específica foi instalado e certifique-se de instalar atualizações de segurança, pois irão resolver as vulnerabilidades no futuro;
- Instale uma solução de endpoint como o Kaspersky Endpoint Security que, graças à sua Endpoint de Detecção e Resposta (EDR), é uma ferramenta que pesquisa e bloqueia de maneira proativa ameaças antes que elas causem danos custosos, responde de maneira rápida e eficaz aos incidentes de brechas de segurança, sem afetar a produtividade ou incorrer em grandes investimentos;
- Faça backup de seus dados com frequência. Mesmo se você estiver em uma situação em que seus arquivos foram criptografados, faça o backup, pois a chave para descriptografá-los pode estar disponível em alguns dias e você poderá recuperá-los;
- Em caso de infecção no seu equipamento, a recomendação é não pagar o resgate. Em vez disso, as empresas são aconselhadas a consultar a página da iniciativa No More Ransom de um computador limpo. O projeto reúne fornecedores de segurança e agentes policiais para rastrear e interromper as atividades de grandes famílias de ransomware a fim de ajudar as pessoas a recuperar seus dados e minar o lucrativo modelo de negócios dos criminosos.
Além disso, a Kaspersky Lab oferece dois tipos de soluções que ajudam as empresas a lutarem contra esse tipo de ameaça:
- Kaspersky Anti-Ransomware Tool para empresas é uma ferramenta gratuita para proteger seus usuários corporativos de contra ransomware. A ferramenta identifica os padrões de comportamento do ransomware e protege terminais baseados no Windows com duas tecnologias inovadoras: Kaspersky Security Network e System Watcher. Os recursos exclusivos do System Watcher incluem a capacidade de bloquear e restaurar alterações prejudiciais. Baixe a ferramenta grátis.
- Kaspersky Cloud Sandbox é um serviço de assinatura que permite rodar arquivos suspeitos em um ambiente virtual com um relatório completo sobre as atividades do arquivo. O serviço é projetado para aumentar a eficiência da resposta a incidentes e da cibersegurança forense, sem qualquer risco para os sistemas corporativos de TI. Para mais informações, visite o site.