Os especialistas em segurança informática de todo o mundo prosseguem a batalha contra o vírus que infetou já mais de 260 mil computadores em mais de 150 países.
PUBLICIDADEOs especialistas em segurança informática de todo o mundo prosseguem a batalha contra o vírus que infetou já mais de 260 mil computadores em mais de 150 países.
O programa malicioso – “malware” – foi identificado como “Wanna Decryptor” ou “WannaCry”, com pelo menos três variantes diferentes registadas nos últimos dias, que poderão ter sido reprogramadas por outros “hackers” em linha, com o objetivo de criar o “cibercaos”.
Segundo a companha Microsoft, o programa teria sido propagado graças a uma “arma informática” pirateada no mês passado à Agência Nacional de Segurança norte-americana (NSA), por um grupo de “hackers”, denominado “Shadow Brockers”.
A “arma” da NSA explora uma vulnerabilidade do sistema Windows que Washington não teria declarado às empresas de “software”.
O programa “WannaCry” (tradução: “quero chorar”), enviado por correio eletrónico, à razão de mais de 5 milhões de mensagens por hora, na sexta-feira, apresenta-se como um ficheiro PDF ou uma hiperligação. Ao ser ativado, o programa “sequestra o acesso” ao computador, exigindo o pagamento de uma quantia – entre 300 e 3.000 dólares – para que o utilizador possa retomar o acesso aos seus dados, entretanto encriptados.
A pista norte-coreana?
Segundo alguns especialistas, os piratas na origem do ciberataque teriam amealhado apenas 28 mil dólares, quando as perdas se calculam, até agora, em mais de 4 mil milhões de dólares.
Alguns utilizadores falam, no entanto, de mais de 50 mil dólares amealhados através do pagamento em “bitcoins”, uma “cripto-moeda” da Internet.
Up to 193 #WannaCry victims paying, now. Over $50K USD pic.twitter.com/qSKU5DfUdD
— Боб Рудіс (@hrbrmstr) May 15, 2017
Alguns especialistas das empresas de cibersegurança Symantec e Kasperskiy Lab levantaram a possibilidade da Coreia do Norte poder estar na origem do ataque, depois de terem descoberto semelhanças entre o código das primeiras versões do “WannaCry” e aquele utililzado por um grupo, denominado “Lazarus Group”, ligado a operações de piratagem de Pyongyang no passado.
“Trata-se da melhor pista até agora sobre a origem do vírus”, segundo o investigador Kurt Baumgartner, do Kaspersky Lab, entrevistado pela agência Reuters.
Microsoft aconselha a descarregar atualização de segurança
Até agora o vírus afeta apenas os computadores sob o sistema Windows que não tenham descarregado a última atualização de segurança – patch – disponibilizada, em Março, pela Microsoft.
Entre as organizações afetadas pelo vírus em todo o mundo, encontra-se o Serviço Nacional de Saúde britânico, cujos computadores utilizariam um sistema Windows XP com mais de 15 anos.
Nos outros ataques registados nos últimos dias, de bancos russos, companhias de telecomunicações, como a Telefónica em Espanha ou a Portugal Telecom, e Universidades na Grécia ou em Itália, o programa malicioso teria atingido apenas máquinas secundárias, rapidamente desligadas da rede para evitar a contaminação de todo o sistema.
Thailand #WannaCry#Ranswomware#CyberSecuritypic.twitter.com/uFfT99bv0x
— James McLeary (@JamesMcLeary) May 14, 2017
Particulares, os menos “vacinados”?
Mas se as empresas, em geral, estão preparadas para este tipo de ataque, com a proteção dos sistemas mais sensíveis – em especial os que contém dados privados – o vírus ameaça, antes de mais, os particulares.
O chefe da Europol, Rob Wainwright apelou a privados e organizações que descarreguem as últimas atualizações de segurança, sugerindo ainda o bloqueio das “portas” 139 ou 445, por onde circula o chamado “SMB traffic” por onde se introduz o vírus.
Um internauta explica a forma de bloquear o acesso do vírus no sistema Windows:
PUBLICIDADE#WannaCry#ransomware If you can't patch, disable SMBv1 -
Microsoft support:https://t.co/5hYgOfGzUGpic.twitter.com/dld06sYQDn— Patrick Coomans (@patrickcoomans) May 13, 2017
Em Portugal, como na maioria dos países europeus, o Centro Nacional de Cibersegurança disponibiliza uma página para notificar todos os casos de ciberataque.
Proteger-se do “ransomware”
Os conselhos para prevenir a infeção são os seguintes:
- Descarregar a última atualização de segurança publicada pelo fabricante. O último “patch” da Microsoft pode ser descarregado aqui .
- Não abrir ficheiros anexos a mensagens de correio eletrónicas suspeitas, nem responder a estas mensagens.
PUBLICIDADE- Extrema precaução antes de clicar em hiperligações suspeitas, no correio eletrónico ou nas redes sociais, mesmo enviadas por amigos ou conhecidos.
- Instalar ferramentas de proteção adequadas como programas antivírus e “firewalls”.
- Realizar frequentemente cópias de segurança do disco duro, em especial dos dados mais sensíveis.
- Em caso de bloqueio do sistema, tentar identificar o tipo de vírus e a possível solução, através do sítio internet no more ransom
- É aconselhável igualmente, modificar as palavras-passe, uma vez que o ciberataque pode permitir o acesso dos “hackers” a informação privada.
PUBLICIDADENão nos cansamos de partilhar as sugestões habituais para reduzir os riscos de ser afectado por #ransomware :: https://t.co/NxNlcTcZ4I
— AP2SI (@AP2SI) May 15, 2017
O “herói” que “neutralizou” o primeiro ataque
A imprensa britânica revelou entretanto a identidade do especialista em segurança informática que conseguiu neutralizar a primeira vaga do ataque.
Segundo o jornal The Telegraph, terá sido o jovem Marcus Hutchins, de 22 anos de idade. O especialista autodidata teria, inadvertidamente, bloqueado o contacto entre o vírus e um endereço internet, ao registar, no seu nome, a morada, descoberta na “metadata” do vírus.
O jovem, por detrás da conta Twitter @MalwareTechBlog, explica como conseguiu neutralizar a primeira vaga do ciberataque:
My blog post is done! Now you can read the full story of yesterday's events here:https://t.co/BLFORfM2ud
— MalwareTech (@MalwareTechBlog) May 13, 2017
Uma segunda variante do vírus terá sido bloqueada nas últimas horas, da mesma forma. Os primeiros programas continham um chamado “kill-switch”, que permite a neutralização do sequestro, com a interrupção da comunicação do vírus com a página internet utilizada para propagar a contaminação.
PUBLICIDADESince registering the 2nd killswitch yesterday, we stopped ~10K machines from spreading further - mainly from Russia. #WannaCry#OKLMpic.twitter.com/eQziRoq8UN
— Matthieu Suiche (@msuiche) May 15, 2017
Os especialistas de segurança informática não excluem, no entanto, a aparição de novas variantes do vírus que possam contornar as medidas de segurança utilizadas até agora.
O Kapersky Lab disponibiliza um mapa , atualizado em tempo real, para seguir a evolução do ciberataque.
Um grupo de especialistas em segurança informática criou uma página no site GitHub onde reúne todas as informações sobre o vírus, dos alvos atingidos aos detalhes técnicos sobre o programa malicioso.