O TeK tem estado a acompanhar toda a informação sobre os ciberataques e preparou uma FAQ com resposta às principais dúvidas que pode ler mais abaixo, neste artigo.
As notícias começaram a surgir na sexta feira e atingiram um volume que ninguém esperava. A Telefónica foi uma das primeiras empresas a admitir um ataque informático com Ransomware que bloqueou muitas máquinas e obrigou a desligar sistemas, mas outras se seguiram e mesmo empresas de grande dimensão, como a norte americana FedEX, registaram problemas. Em Portugal a PT foi uma das que confirmou também ter sido afetada, embora tenham surgido outros nomes, alguns que foram depois desmentidos.
O diretor da Europol contabilizava, no Sábado, mais de 200 mil vítimas, em 150 países, mas os números podem muito bem ser de maior dimensão e ninguém se atreve a fazer uma estimativa mais alargada. Hoje sabe-se que no Japão já foram afetados mais de 2 mil computadores e que a Nissan Motor teve sistemas comprometidos, tal como a Renault.
Nos Estados Unidos a administração Trump já confirmou que os ataques são mais complexos do que se pensava e uma equipa de peritos montou um bot para contabilizar os pagamentos que são feitos, em bitcoins, às várias contas ligadas a este ataque, e já somam muitos milhares.
Em Portugal muitas empresas aproveitaram o fim de semana para rever e estabilizar os sistemas informáticos, e para prepararem alertas para os utilizadores que voltam esta segunda feira ao trabalho.
Reunimos neste artigo o que se sabe, ou julga saber, e as recomendações para as empresas e utilizadores individuais se protegerem. Algumas das informações estão a ser avançadas por várias fontes mas não são ainda totalmente confirmadas.
O artigo vai estar em atualização permanente.
O que é o Ransomware?
O Ransomware é um tipo de ataque informático que recorre a malware, como vírus e Cavalos de Tróia, para infetar um sistema informático, bloqueando o acesso ao sistema e aos ficheiros que estão aí guardados através de encriptação de dados. O modelo está ligado ao pedido de resgate e normalmente as vítimas recebem um aviso nos ecrãs a pedir pagamento, habitualmente através de bitcoins, cujo rasto é mais difícil de seguir.
A infeção normalmente é feita através do envio de emails com links para sites onde é então descarregado o malware que tira partido de alguma falha no sistema informático. As extensões .doc, .dot, .tiff, .java, .psd, .docx, .xls, .pps, .txt, ou .mpeg são apenas algumas das que podem ser atingidas.
Qual é a origem deste ataque de Ransomware?
Não há ainda uma origem confirmada. O ataque é feito através de um malware da família Wanna, o WannaCry. Uma fonte da administração Trump nos Estados Unidos confirmou ao New York Times que este é um ataque muito complexo porque “o código foi compilado de muitas fontes e muitas origens” e que quanto maior o número de possíveis fontes do código malicioso mais difícil é para os investigadores identificarem os possíveis atacantes.
Inicialmente foram apontadas fontes no Brasil, mas também se falava da China e da Rússia. Algumas notícias indicavam que o exploit (o código de exploração da falha informática) poderá ter sido alterado a partir de código da NSA. Putin é um dos "defensores" da teoria, como deixou patente esta segunda-feira, comentando que quando se abre a garrafa os génios podem fugir e atacar os próprios donos.
Conseguiram parar o problema?
No Sábado o jornal The Guardian proclamava um "herói acidental" e adiantava que um jovem britânico que mantém o blog MalwareTech tinha conseguido identificar o domínio usado como sistema de controle pelo malware e que o comprou por 10 dólares, bloqueando a difusão do ataque. Mas avisava logo que podia ser temporário, já que facilmente os hackers podiam alterar o código para continuar o ataque. O que aparentemente aconteceu.
A Europol já comunicou entretanto que a situação na Europa parece estar estabilizada. Mas avisou que há possibilidade de uma nova vaga, com alterações ao código inicial.
Quem são as empresas afetadas?
A Telefónica foi uma das primeiras a admitir ter sido alvo de ataques, e muitas mais se seguiram, com o Reino Unido a ser uma das principais vítimas na rede hospitalar, a NHS. Nos Estados Unidos também a FedEx já confirmou ter sido afetada e no Japão a Nissan Motors. A Renault em França, o Sberbank Russia e a STC telecom estão também entre as vítimas. Mas estes são apenas os nomes grandes.
As primeiras estimativas avançadas pela Europol no Sábado, dia 13 de maio, apontam para mais de 200 mil vítimas em cerca de 150 países, e o diretor da organização admitia que nunca tinha sido visto um ataque desta escala.
Esta manhã foram adicionados novos nomes e números a esta lista, inicialmente de empresas asiáticas que já estariam em horário de fim de semana quando a primeira vaga foi lançada e que sofreram os primeiros impactos hoje, quando ligaram os PCs num fuso horário anterior ao da Europa.
E em Portugal, há casos confirmados?
Os primeiros nomes avançados por vários órgãos de comunicação social identificavam várias empresas, mas algumas lançaram depois comunicados a desmentir problemas, garantindo que tinham sido apenas processos de proteção. A Portugal Telecom foi uma das que confirmou ter sido alvo de ataque, que foi rapidamente mitigado, segundo confirmaram fontes da empresa.
Pedro Veiga, coordenador do Centro Nacional de Cibersegurança (CNCS) confirmou que várias empresas confirmaram ter sido alvo de ataques mas que não recebeu nenhuma comunicação da Administração Pública, o que pode ter acontecido também devido à tolerância de ponto que estava em vigor no dia 12 de maio, sexta feira, devido aos festejos do centenário das aparições de Fátima e à visita do Papa a Portugal.
Esta manhã o Ministério da Saúde chegou a desativar o email como medida de segurança e o INEM está a usar comunicação de rádio para ultrapassar o facto dos Hospitais e Centros de Saúde estarem sem email, mas Pedro Veiga garante que o dia foi muito calmo, sem relatos de incidentes graves, o que pode ser devido à preparação que os ministérios e direções gerais fizeram durante o fim de semana.
A Polícia Judiciária está a acompanhar o problema mas ainda não identificou a origem.
O que posso fazer para evitar ser afetado por este ataque?
Há várias medidas de proteção básicas para evitar este tipo de ataques e uma das primeiras é não abrir emails suspeitos, nem seguir links de fontes pouco credíveis. Os especialistas recomendam também que se mantenham os sistemas e aplicações atualizados, até porque este malware explorava uma falha já corrigida em março pela Microsoft.
Mesmo assim ninguém consegue estar 100% seguro e por isso, para proteger a informação, os especialistas aconselham que os utilizadores mantenham backups regulares, em discos externos ou na cloud, de forma a recuperar os dados em caso e infeção.
O site No more Ransomware avança algumas recomendações e um conselho muito importante: nunca pagar o resgate pedido, já que isso incentiva a continuidade dos ataques e não traz qualquer garantia de que se consiga obter a chave para ter acesso aos ficheiros.
A aplicação dos patch da Microsoft relativos às falhas exploradas no Windows são um dos passos mais importante e a empresa já publicou um guia com informação adicional para os clientes, sobretudo de sistemas operativos mais antigos como o Windows XP, Windows 8 e Windows Server 2003. A Microsoft garante que os clientes com Windows 10 não foram afetados.
O centro espanhol CCN-CERT divulgou entretanto uma ferramenta para proteger os sistemas, mas que não serve para resolver os problemas dos que já estão comprometidos.
Em Portugal a quem posso recorrer?
Várias entidades estão a trabalhar para emitir alertas e ajudar as possíveis vítimas, mas também para identificar a origem dos ataques. O Centro Nacional de Cibersegurança (CNCS) tem a missão de fazer a coordenação de cibersegurança junto de entidades do Estado, operadores de serviços essenciais e prestadores de serviços digitais. Os incidentes podem ser reportados através do CERT.pt.
A Polícia Judiciária está também a trabalhar neste problema, em especial a UNC3T, a Unidade Nacional de Combate ao Cibercrime e Criminalidade Tecnológica.
Qual é a configuração técnica do ataque?
Este ataque usa os vírus WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY e afeta todas as versões do Windows antes do Windows 10, desde que não tenham aplicado as correções já divulgadas pela Microsoft. O vírus usa a porta TCP 445 para se propagar e a vulnerabilidade eternalblue.
O resgate pedido varia entre 300 e 600 euros e é "pago" em bitcoins, mas pode ir aumentando com o tempo. As autoridades desaconselham o pagamento de qualquer valor, até porque não há garantia de que seja fornecida a chave para desbloquear os ficheiros.
Há vários repositórios onde são partilhadas chaves de encriptação normalmente usadas nestes ataques e as empresas de segurança montaram um website só dedicado ao Ransomware.
Neste link do GitHub encontra mais informação, incluindo uma lista de organizações afetadas, dados sobre a encriptação e também os endereços das carteiras bitcoin.
Foram feitos pagamentos para conseguir as chaves para desbloquear os equipamentos?
Apesar das recomendações das autoridades. muitos utilizadores têm optado por fazer pagamentos em bitcoins e foi criado um bot que está ligado a uma conta no Twitter que faz a contabilização de todos os pagamentos que caem nas carteiras de bitcoins associadas a este ataque. E já soma muitos milhares de dólares, um valor que é atualizado a cada duas horas.
Nota da Redação: Esta notícia está a ser atualizada à medida que surgem novas informações e dados técnicos. Se tiver alguma informação complementar sobre o ataque ou empresas afectadas, ou se detetar algum erro, envie-nos um email para geral@tek.sapo.pt.
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários