Ataque a empresas portuguesas e não só! Afinal o que aconteceu?

Desde a manhã de hoje têm sido muitas as notícias (e não notícias) que têm circulado pelos canais informativos. O assunto diz respeito a um ataque que fez “várias vítimas”, especialmente os maiores operadores mundiais de comunicações.

De acordo com toda a investigação realizada até ao momento pelo Pplware, tratou-se de ataque massivo de ransomware (que chegou por e-mail) mais concretamente de um ransomware da família “Wanna”, o WannaCry.

Num dia em que em Portugal as notícias deveriam estar principalmente focadas na chegada do Papa ao nosso país, um ataque de larga escala de ransomware fez desviar as atenções. Segundo o que apuramos de alguns operadores de comunicações e também empresas de segurança nacionais e internacionais, o ataque não foi dirigido a nenhuma empresa sendo que a empresa espanhola Telefónica foi a primeira organização a reconhecer a expressão do ataque.

De acordo com informações da Telefónica, os piratas informáticos pediam 276€ (0,1675 bitcoins) para decifrar a informação por cada PC infetado e com pagamento até ao próximo dia 15 de maio. Caso contrário, toda a informação seria eliminada até 19 de maio. Sabe-se ainda quem, no caso da telefónica, não houve máquinas de clientes afetadas.

Ataque do tipo ransomware da família “Wanna”

De acordo com especialistas da empresa S21sec, “estes ataques têm como objetivo a inibição (por via da encriptação dos mesmos) do acesso a ficheiros nos computadores infetados até ser pago um resgate que permita desbloquear tal situação. Em muitas situações, o computador comprometido fica virtualmente inoperacional, bem como os processos de negócio que dele possam depender”. O ataque aproveitou-se de uma vulnerabilidade dos sistemas ao nível do SMB – Server Message Block  (MS17-010) que, depois de conseguir atingir numa máquina, pode distribuir-se por outras dentro da mesma rede.

Tal cenário levou a que algumas empresa, por exemplo a EDP, tivessem desligado alguns dos seus sistemas e isolado redes como forma de prevenção. O Pplware tem recolhido algumas declaração das empresas nacionais de comunicações, de modo a clarificar algumas informações e não notícias que têm sido criadas.

Em termos de soluções de segurança, Nuno Mendes da ESET refere que:

Aparentemente e tanto quanto foi possível apurar até agora, a vaga de ataques por ransomware tem utilizado o exploit ‘Eternalblue’ divulgado pelo leak da NSA Shadowbroker. Esta vulnerabilidade relacionada com o protocolo SMB foi corrigida pelo patch MS17-10 da Microsoft. Os clientes ESET domésticos e empresariais com versões  superiores à v6 estão protegidos contra esta vulnerabilidade.

Até ao momento não temos reportada qualquer situação de ataque deste tipo por nenhum cliente doméstico ou empresarial, no entanto recomendamos vivamente a instalação imediata de todas e quaisquer actualizações disponibilizadas pelo MS Windows bem como aplicações instaladas nos sistemas.Reforçamos ainda a importância em não disponibilizar para a internet portas de acesso ao serviço RDP uma vez que tem sido um dos principais vectores de entrada de ataques ransomware. Actualmente existem mais de 11.000 sistemas online em Portugal com este serviço acessível via Internet, considerando apenas o seu porto TCP habitual (3389) uma vez que alguns administradores de sistemas procuram ofuscar a visibilidade deste serviço alterando para outro porto TCP.

Este tipo de acessos deverá ser feito remotamente, via internet, sobre um acesso VPN, preferencialmente com autenticação segura de 2 factores.

De acordo com a MEO… “Foi detetado um ataque informático a nível internacional, com impacto em vários países, nomeadamente Portugal, afetando diferentes empresas de vários setores. Na PT, todas as equipas técnicas estão a assumir as diligências necessárias para resolver a situação, tendo sido ativados todos os planos de segurança desenhados para o efeito, em colaboração com as autoridades competentes. A rede e os serviços de comunicações fixo, móvel, internet e TV prestados pelo MEO não foram afetados”.

Relativamente à Vodafone, a empresa esclareceu que, até ao momento, não tinha sido afetada por tal ataque. No entanto estavam atentos e de prevenção.

A KPMG Portugal esclareceu que está a operar de forma normal, não tendo sofrido qualquer ataque informático durante o dia de hoje.

Sabe-se ainda que há hospitais britânicos que foram também afetados por esta vaga de ransomware.

Quais os sistemas operativos afetados?

• Microsoft Windows Vista SP2
• Windows Server 2008 SP2 e R2 SP1
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 e R2
• Windows 10
• Windows Server 2016

Alterações das seguintes chaves de registo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\SignaturesMicrosoft\Update Scheduler.job

Nos e-mails que estão a ser enviados, foi já identificado o seguinte URL malicioso: hxxp[:]//parafazeracontecer[.]com[.]br/blog/taskhost[.]exe que aponta para o IP 177.12.161.34. Há no entanto mais endereços que estão a servir de C&C (Command and Control).

Como atualizar o seu sistema?

A Microsoft informou no passado dia 14 de março informações sobre a vulnerabilidade que está a afetar principalmente os seus sistemas operativos. O patch de correção para o seu sistema pode ser obtido aqui e deve ser aplicado o mais rápido possível.

Aconselhe-se ainda o:

• Bloqueio dos portos lógicos TCP e UDP 138, 139 e 445
• Atualização do seu antivírus e verificação do estado da firewall do sistema (e de rede, caso exista).

De acordo com alguns sites, a ferramenta Anti Ramson v3 é capaz de detetar e bloquear este tipo de ransomware.

Solução alternativa

Pode de imediato também desativar o SMBv1 no seu sistema. Para isso deve fazer o seguinte:

Sistemas Cliente 

Para utilizadores com Windows 8.1 ou Windows Server 2012 R2 e superior devem:

1. Abrir o Painel de Controlo, carregar em Programa e Funcionalidades, e depois carregar em Ativar ou desativar funcionalidades do Windows
2. Lá dentro deve tirar o visto da opção Suporte para Partilha de Ficheiros  SMB 1.0/CIFS

Depois basta reiniciar o sistema.

Sistemas Servidor

Para sistemas servidor, abre o Server Manager carregue em Manage e depois Remove Roles and Features. Em seguida tire o visto da opção SMB 1.0/CIFS File Sharing Support e reinicie o sistema.

Algumas recomendações

Para garantir a máxima proteção em cenários deste tipo, o Pplware aconselha que:

• Tenha o Anti-vírus atualizado
• Não abra e-mails de origem desconhecida, que possuam anexos suspeitos
• Atenção ao uso de software não legitimo
• Tenha sempre uma cópia de segurança dos seus dados

O Pplware continuará a acompanhar este caso e a dar novas informações caso assim se justifique.