Informe

Os ataques massivos da última sexta-feira

Na última sexta-feira, 12 de maio, um ataque massivo de ransomware afetou diversas organizações na Europa e América Latina. Esse tipo de ataque afeta sistemas Windows cifrando diversos arquivos em discos rígidos, pendrives e unidades de rede podendo, assim, se propagar a outros equipamentos que estejam conectados na mesma rede.

Descrição:

O ransomware, conhecido pelas variantes de WannaCry ou HydraCrypt, infecta computadores utilizando o sistema operacional Microsoft Windows através de uma vulnerabilidade no serviço SMB, utilizado para o compartilhamento de arquivos via rede. Quando o usuário executa um arquivo malicioso enviado pelo atacante, normalmente um arquivo compactado do tipo RAR, inicia-se um processo de cifragem de arquivos no computador da vítima. Além disso, conforme dito anteriormente, o ransomware pode propagar-se através da rede local. Isto é, outras máquinas, que executem o mesmo sistema operacional, podem ser afetadas.

Quando o computador é afetado, os arquivos cifrados passam a ser identificados pela extensão “.wcry”. Após este processo, é solicitada à vítima o pagamento de uma taxa para envio da chave que poderá decifrar os dados. Porém, de acordo com relatos conhecidos, o pagamento da taxa de resgate ao usuário malicioso não garante que o mesmo irá enviar a chave para decifrar os arquivos, o que torna importante realizar regularmente o backup dos arquivos para recuperação quando necessário.

Como a Universidade é afetada:

A STI detectou uma quantidade significativa de SPAM entrando em nossos servidores de email, originados de endereços comprometidos. Por distração ou falta de conhecimento, muitos de nossos usuários têm o hábito de abrir mensagens recebidas que jamais foram solicitadas, como por exemplo, recadastramento de senhas de banco ou dados pessoais. Esses falsos correios eletrônicos costumam conter textos que os convidam a baixar anexos comprometidos ou ainda clicar em links desconhecidos.

Para evitar maiores danos, interrompemos temporariamente, na última sexta-feira, o nosso serviço de correio eletrônico corporativo para avaliar a extensão do problema. Além do serviço de correio eletrônico, paramos também alguns serviços de compartilhamento de arquivos e os servidores Windows em nosso Datacenter, para que os mesmos não fossem comprometidos antes de passar por uma verificação e terem seus sistemas atualizados.

Recomendamos, também, a todos os administradores de redes e sistemas que verifiquem a integridade das cópias de segurança dos arquivos da sua responsabilidade, assim como suas rotinas de backup.
Estamos, aos poucos, retornando todos os acessos e pedimos a compreensão e a colaboração de todos durante esse processo.

Não abram mensagens e arquivos suspeitos, nem cliquem em links desconhecidos!

Sistemas impactados:

Windows Vista SP2
Windows Server 2008
Windows Server 2008 R2
Windows 7
Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Windows 10
Windows Server 2016

É recomendada a aplicação URGENTE das correções disponíveis para os sistemas vulneráveis!

Correções disponíveis:

– Aplicar as correções de segurança recomendadas no link abaixo:
www.catalog.update.microsoft.com/

Ações recomendadas:

  • Aplicar as correções de segurança para o seu sistema operacional.
  • Atualizar as soluções de antimalware para suas últimas versões disponibilizadas pelos desenvolvedores.
  • Realizar cópias de segurança de arquivos e sistemas e aplicar medidas para assegurar sua integridade e funcionamento.

A STI recomenda que os administradores e usuários mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

A segurança é um dever de todos. Para garantir o bom funcionamento da nossa infraestrutura de dados, fiquem atentos às boas práticas!

Se você abriu algum arquivo suspeito, clicou em algum link desconhecido, desconfia que algo está errado em seu sistema, foi comprometido pelo ataque ou está com dúvidas e não sabe o que fazer, procure orientação com o responsável pelo seu setor/departamento, ou entre em contato com a STI através da nossa central de atendimento.

Mais informações:

1-  www.techtudo.com.br/noticias/noticia/2016/06/o-que-e-ransomware.html
2- www.rnp.br/sites/default/files/vulnerabilidade_servico_smbv1_da_microsoft.pdf
3- www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
4- https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks
5- https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3
6- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0147
7- https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
8- www.virustotal.com/en/file/
9- https://intel.malwaretech.com/WannaCrypt.html
10- www.hybrid-analysis.com/sample/
11- www.theguardian.com/society/2017/may/12/hospitals-across-england-hit-by-large-scale-cyber-attack
12- https://cartilha.cert.br/

Pular para o conteúdo