Efeito WannaCry

Sua empresa está preparada contra ataques cibernéticos?

  • Compartilhar

No dia 12 de maio de 2017, um ataque cibernético relacionado a sequestro de dados, tecnicamente chamado de ransomware, causou grande impacto no mundo, afetando organizações em quase todos os setores. Até o momento, foi observado a disseminação desse malware em 200 mil sistemas por 150 países.

Pesquisadores e especialistas em Segurança da Informação, inclusive a EY, indicam que provavelmente uma nova variação desse ataque irá aparecer em um futuro próximo, e essa poderá não ter o gatilho de interrupção encontrado na primeira versão do WannaCry.  

A EY adverte as empresas a agirem imediatamente e se empenharem em adotar medidas eficazes que tanto possam mitigar seu efeito, quanto ajudar a se proteger no futuro, obtendo maior resiliência cibernética para outras ameaças.

Clique aqui e confira as seis recomendações da EY para se proteger e minimizar danos em casos como este.

"O sequestro de dados - como o WannaCry - exige um plano de contingência e de resposta rápido. Mesmo depois que os dados são restaurados, as empresas às vezes enfrentam problemas na recuperação de informações sensíveis que foram comprometidas no ataque. Clientes, fornecedores e demais stakeholders podem exigir que a empresa demonstre de forma forense que, mesmo que os dados tenham sido acessados,  nada foi perdido por completo”, alerta Sergio Kogan, sócio-líder de Cybersecurity da EY Brasil.

 

Arte WannaCry


O que é um ransomware?

Ransomware é um tipo de malware que normalmente se espalha por e-mails falsos (phishings) e criptografa a grande maioria dos arquivos e discos presentes no computador ou no servidor. Para recuperação dessas informações, o invasor pede uma “recompensa”, que precisa ser paga durante um período estipulado.

A criptografia dos arquivos nas estações de trabalho, nos servidores e no banco de dados fere a disponibilidade da informação, fazendo com que usuários não consigam ter acesso a ela, como também impossibilita o funcionamento de serviços que dependem dessas informações, como sistemas ERP, servidores web, e-mail, entre outros.

Esse malware se propaga pela rede, infectando outros computadores por meio do protocolo Windows SMB (Server Message Block), utilizado para o compartilhamento de pastas que operam nas portas 445 e 139, também utilizado para impressoras na rede.


O que é o WannaCry ransomware?

O WannaCry ransomware é um malware muito parecido com os demais criptomalwares encontrados pela internet. Porém, para entender como ele conseguiu provocar um dos maiores ataques cibernéticos do mundo, precisamos voltar para abril/2017, quando o grupo ShadowBrokers liberou ao público um lote de ferramentas da NSA (National Security Agency), no qual se encontrava uma ferramenta chamada ETERNALBLUE.

Nessa ferramenta, foi encontrada uma vulnerabilidade identificada como MS17-010. O WannaCry utiliza o protocolo SMB para executar a infecção dos computadores, porém ele utilizou a MS17-010 para alavancar a disseminação desse malwareem uma escala global, sem interação do usuário, como normalmente é feito. Após o incidente do dia 12 de maio de 2017, a Microsoft lançou patches emergenciais para essa vulnerabilidade para versões não suportadas dos Sistemas Operacionais Windows, como o XP.


Seis passos para proteção e redução de danos

Há seis medidas que as organizações podem tomar imediatamente para ajudar a proteger seus dados e sistemas – os ativos mais valiosos e de seus clientes - ao mesmo tempo em que minimizam os possíveis danos causados por outras ameaças:

1. Desconecte as máquinas infectadas da rede e segregue as máquinas de backup porque também podem ficar criptografados se forem conectados à rede.

2. Ative seu plano de resposta a incidentes e não trate a investigação como um mero problema ou exercício de TI. Reúna um time multifuncional na equipe de investigação, incluindo jurídico, compliance, segurança da informação, administrativo, relações públicas, recursos humanos e outros departamentos relevantes.

3. Identifique as vulnerabilidades em seu sistema. Instale atualizações de segurança, detecção de malwares e detecção de vírus para dificultar recorrências e melhorar as ferramentas de detecção e resposta para futuros ataques.

4. Certifique-se de que seus sistemas estejam corrigidos antes de reconectar os computadores. Mantenha os sistemas atualizados com um programa de gerenciamento de vulnerabilidades de alto nível. Isso deve incluir um ciclo de repetições para gerenciar vulnerabilidades com base em riscos à medida que eles evoluem e um modelo de amplo e atualizado de inventario, pontuando o nível de risco de aposição de cada item e sua conectividade com outros dispositivos.

5. Ative o plano de continuidade do negócio. Utilize como base os requisitos necessários para relatórios regulatórios, reivindicação de seguros e disputas, litígios, inteligência de ameaças e/ou notificação de clientes.

6. Colete e preserve as evidências, seguindo o rigor forense necessário, de maneira possam ser usadas em uma investigação. "O sequestro de dados - como o WannaCry - exige um plano de contingência e de resposta rápido. Mesmo depois que os dados são restaurados, as empresas às vezes enfrentam problemas na recuperação de informações sensíveis que foram comprometidas no ataque. Clientes, fornecedores e demais stakeholders podem exigir que a empresa demonstre de forma forense que, mesmo que os dados tenham sido acessados, nada foi perdido por completo”, alerta Sergio Kogan, Sócio líder de cibersegurança da EY.

Observar a cibersegurança como prioridade do negócio, auxilia na mitigação dos riscos das empresas no ambiente digital, permitindo conhecer o nível de exposição e riscos associados e facilitar a tomada de decisão dos executivo.


Para saber mais sobre o tema e saber como a EY pode ajudar sua empresa, entre em contato com nosso time.