WannaCry já infectou milhares de computadores em 74 países

Um ataque em massa aconteceu nesta sexta (12/05) em diversos lugares do mundo e derrubou sistemas de comunicação e computadores de grandes empresas. Nas máquinas infectadas, como dos hospitais públicos do Reino Unido e da Telefónica na Espanha, apareceram mensagens pedindo resgate para terem seus sistemas reativados e dados devolvidos.

O ataque acontece via worm, um programa que se auto-replica através da Internet, infectando computadores sem que haja participação dos usuários. Nele há um ransomware que bloqueia os dados e só os liberam mediante pagamento. Batizado de WannaCry, ele ataca o Microsoft Windows e estima-se que 75% dos computadores, no mundo, com esse sistema estão vulneráveis.

“WanaCrypt0r 2.0 ransomware (the new WCry/WannaCry) is spreading like hell”, disseram os pesquisadores da MalwareHunterTeam via Twitter.

Várias organizações no mundo todo, incluindo hospitais e empresas de telecomunicações, relataram terem sido vítimas, e ao que tudo indica, isso é apenas o começo.

Até à tarde de sexta (12/05), foram detectados 45 mil computadores contaminados em 74 países, segundo a empresa de segurança russa Kaspersky. A BBC informou que houve ataques no Reino Unido, Estados Unidos, China, Rússia, Espanha, Itália, Vietnã, Taiwan e outros países. O WannaCry obrigou várias empresas a pedir aos seus funcionários que desligassem, por razões de segurança, os computadores da rede e aguardassem novas orientações.

A Reuters afirma ainda que a companhia de energia espanhola Iberdrola e a Gas Natural também foram atacadas pelo ransomware.

“Ooops, seus arquivos foram criptografados!”, diz a mensagem exibida nos computadores infectados de acordo com uma foto publicada pelo El Mundo.

“Você tem 3 dias para enviar o pagamento. Depois disso, o preço dobra. Caso não pague em 7 dias, você não será capaz de recuperar seus arquivos nunca mais.”, completa a mensagem.

EternalBlue:
O uso do exploit criado pela NSA chamado EternalBlue e vazado recentemente pelo grupo hacker Shadow Brokers foi confirmado por um pesquisador de malware independente conhecido como Kafeine.

Kafeine disse a Forbes que não tinha certeza se o exploit estava sendo usado como o principal método de contaminação do ransomware, mas tinha certeza de que ele era usado de alguma forma.

A praga se aproveita de uma vulnerabilidade no Windows que permite executar código remotamente por meio do SMB, um protocolo de compartilhamento de arquivos. Quando uma máquina é afetada, o ransomware pode se espalhar rapidamente para todos os computadores vulneráveis da rede.

“MS17-010 é o melhor candidato para este ataque de ransomware”, disse Matthew Hickey, co-fundador do centro de treinamento de segurança cibernética britânica Hacker House. Ele o comparou a outro surto de malware maciço de outrora, chamado Conficker, que usou recursos semelhantes a worms para se espalhar rapidamente pelo mundo.

Como se proteger:
A Microsoft liberou um patch de correção no dia 14 de março conhecido como MS17-010, mas, pelo visto, poucas máquinas foram atualizadas.

Portanto, se ainda não fez, a recomendação é atualize seu sistema operacional imediatamente!

Esse incidente prova que as pessoas não deveriam minimizar a importância das ferramentas e métodos de exploração vazados da NSA e da CIA. Elas são armas, e agora estão disponíveis para qualquer um.