Vulnerabilidade no sistema operacional é explorada pelo malware WannaCrypt, que ganha acesso ao sistema com privilégios de administrador.

Na manhã de hoje tivemos notícia de ataques do tipo Ransomware em diversas empresas na Europa. Os sistemas da sede da Telefónica em Madrid parecem ter sido os alvos iniciais, notícias dão conta que 85% dos computadores da companhia foram infectados e tiveram seus dados criptografados.

Os responsáveis pelo ataque demandam pagamento de resgate até o dia 19 de Maio sob a ameaça de apagar todos os dados criptografados pelo malware. De acordo com o El Mundo, para desbloquear o acesso aos dispositivos, a empresa deveria pagar o equivalente a $300 dólares em Bitcoins por máquina.

A origem do ataque ainda não foi confirmada, mas fontes próximas à Telefónica apontam que se trata de um esforço de cibercriminosos na China.

A alta criticidade do ataque se dá porque ele tem a capacidade de “worm”, que pode se multiplicar através dos ambientes e computadores de maneira autônoma e com grande facilidade. O ataque de hoje foi causado por uma versão do ransomware WannaCrypt, que aproveita uma vulnerabilidade crítica no sistema operacional Windows e permite a execução de código remoto.

A falha de segurança está no serviço de proteção contra malware do sistema operacional, que permite interceptar e inspecionar toda a atividade de leitura e escrita de arquivos e dados do sistema. O acesso do malware permite acesso à máquina da vítima com privilégios administrativos.

A falha foi publicada através do CVE-2017-0290 e fez com que a Microsoft publicasse um patch de emergência no Microsoft Security Advisory 4022344. Quase todas as versões do Windows podem ser afetadas e as atualizações devem ser realizadas imediatamente.

É possível acompanhar a propagação do malware em tempo real através de um site publicado pela Intel.

A recomendação dos especialistas da CIPHER é de aplicar imediatamente a atualização nos sistemas operacionais Windows. Recomenda-se a aplicação e reinicialização mesmo de servidores de missão crítica, já que o impacto operacional do “downtime” será menor do que aquele causado pela ameaça.

Também recomendamos a gestão de ativos, de vulnerabilidades, patches e atualizações. Além de garantir que somente as portas de comunicação necessárias em servidores e computadores estejam expostas na Internet.

Com a colaboração de Wolmer Godoi, diretor de operações e MSS na CIPHER; Fernando Amatte, gerente do laboratório de inteligência na CIPHER; David Tudino, gerente de segurança da informação na CIPHER; Paulo Poi, coordenador de GRC na CIPHER e Pedro Silveira, gerente de marketing na CIPHER.