Falta de processos faz novas vítimas de ransomware

Na tarde desta terça-feira (27/6), mais uma vez, empresas de vários países do mundo foram infectadas por ransomware. Desta vez, o malware é uma nova variante do ransomware Petya, chamada de Petwrap, que, assim como o WannaCry, tira proveito de uma vulnerabilidade no Windows.

Para o CEO da iBLISS Digital Security, Leonardo Militelli, a nova onda de ataques mostra que muitas empresas ainda não aprenderam a importância de contar com processos consistentes de segurança da informação, especialmente quando o assunto é a atualização de sistemas.

“A falta de processos está fazendo novas vítimas. Enquanto as empresas não tomarem consciência da real importância de contar com processos maduros de gestão de segurança, continuaremos a ver esses problemas”, explica o executivo da iBLISS.

O Petya tira proveito da mesma vulnerabilidade que o WannaCry usou, em maio de 2017, para infectar mais de 300 mil sistemas e servidores ao redor do mundo em apenas 72 horas, conhecida como EternalBlue. A falha de segurança foi descoberta pela NSA e vazada por um grupo hacker conhecido como The Shadow Brokers.

Apesar de a Microsoft ter emitido a correção para o problema em todas as versões do Windows em março de 2017, ondas de ataques como o WannaCry e o Petya mostram que muitas empresas ainda não realizaram a instalação dos patches de segurança.

“O WannaCry e o Petya mostram que empresas no mundo todo enfrentam um problema com a atualização de sistemas. Isso acontece porque muitas acabam se dedicando mais à resolução dos incidentes do que à prevenção desse tipo de ameaça ou à mitigação dos riscos”, explica Militelli.

Para ele, é preciso investir em programas de gestão de segurança para lidar com a complexidade cada vez maior do ambiente de TI, que acaba tornando a atualização das aplicações um desafio e gerando uma série de vulnerabilidades críticas.

“Vale lembrar que essa é a terceira vez que uma ameaça tira proveito dessa mesma vulnerabilidade. Apenas alguns dias depois do WannaCry, especialistas descobriram que o malware Adylkuzz tirou proveito dessa mesma falha de segurança do Windows para minerar moeda virtual”, afirma Militelli.

Principais impactos do ataque
Até o momento, o país mais afetado pela onda de ataques do ransomware Petya foi a Ucrânia, que teve sistemas de bancos, de metrô e do aeroporto de Kiev comprometidos. Entre as empresas afetadas no país estão as fornecedoras de energia elétrica Kyivenergo e Ukrenergo, o National Bank of Ukraine (NBU), Oschadbank, e as organizações do setor de telecomunicações Kyivstar, LifeCell e Ukrtelecom. A ameaça também impactou múltiplas estações de trabalho da unidade ucraniana da empresa de mineração Evraz.

O ransomware Petya afetou ainda fornecedores de energia elétrica e bancos em países como Rússia, Espanha, Reino Unido e Índia, incluindo a gigante petrolífera russa Rosneft e a empresa internacional de logística Maersk.

Ainda não há dados sobre a quantidade de sistemas que já foram infectados pelo ransomware Petya nas últimas horas, mas especula-se que o ransomware possa ter uma extensão maior que a do WannaCry.

Diferente dos outros ransomwares, que criptografam os arquivos do sistema da vítima um a um, o Petya reinicia o computador do usuário, substitui todo o master boot record (MBR) e criptografa a tabela de arquivos mestre (MFT), impedindo que o usuário acesse seus arquivos.

O Petya vai além dos ransomwares tradicionais, pois criptografa, de uma só vez, partes inteiras do HD, impedindo que o usuário acesse até mesmo o Windows. O ransomware então exibe uma mensagem para explicar à vítima que seus arquivos estão criptografados e pede o pagamento de US$ 300 em bitcoins.

Como proteger seus dados
Para garantir imediatamente a segurança de seus arquivos, as empresas devem manter suas máquinas atualizadas e aplicar os patches de segurança disponibilizados pela Microsoft para corrigir a vulnerabilidade EternalBlue. Também é importante desativar o protocolo de compartilhamento de arquivos SMBv1 nos sistemas e servidores com o Windows.

De acordo com o Militelli, é ainda mais importante que as empresas estejam atentas aos seus processos de segurança para prevenir esse tipo de ameaça. “As organizações precisam tomar consciência da importância da gestão de segurança e da economia que podem gerar para o negócio ao investir na prevenção de ameaças e na mitigação de riscos”, explica o executivo da iBLISS.

Ele cita o caso da Anthem, uma das maiores empresas de seguros de saúde dos Estados Unidos, que teve 80 milhões de dados de clientes vazados em 2015 e, na última semana, teve fixado o valor de US$ 115 milhões a serem pagos em processos judiciais.

“O investimento em plataformas de gestão de segurança da informação que auxiliem a execução de processos como a atualização de sistemas pode gerar um grande retorno. O custo de prevenir acaba sendo bem menor que o de remediar incidentes de segurança. No caso da Anthem, por exemplo, nem contamos o que a empresa perdeu em termos de credibilidade para seu cliente”, afirma Militelli.