Além de Fátima hoje a notícia relaciona-se com o ransomware.

O ransomware propagou-se por várias empresas Portuguesas e infectou milhares de computadores em todo Portugal. Não só no nosso país, mas também no Reino Unido, Estados Unidos, Espanha, Rússia, Itália, entre outros.

Mas, afinal, o que aconteceu?

Ransomware é um tipo de ataque que, assim que infecta um computador, encripta os ficheiros que nele se encontram, normalmente ignorando os ficheiros apenas necessários à abertura do Windows. Isto porque quando o Windows é “aberto”, é mostrada uma mensagem a pedir um resgate de quantias elevadas em dinheiro.

Em Linux e MacOS o ransomware é menos comum, mas também possível.

Como se paga?

O pagamento é sempre exigido em Bitcoins. As Bitcoins são um sistema descentralizado de moeda virtual que permitem a transacção anónima, se tomadas precauções tecnológicas. Em Portugal, a moeda Bitcoin (e as suas derivadas) não têm qualquer enquadramento legal.

Como se propagou?

A causa provável para este problema é apontada como a seguinte:

No início do mês o Hackers Portugal e outros serviços noticiosos da especialidade publicaram uma lista, que tinha sido tornada pública por um grupo de hacktivistas denominado de Shadow Brokers. Estes dados foram recolhidos de um ataque cibernético à NSA. Ora, um dos “dumps” tinha um exploit denominado EternalBlue que foi usado para propagar o ransomware WannaCry (ou WanaCrypt0r 2.0). O patch foi publicado em Março e quem tinha sistemas actualizados ou SMBv1 desactivo não podia ser afectado.

Ou seja, este problema apenas acontece se:

  • O servidor Windows estiver desatualizado
  • OU o SMBv1 estiver activo
  • Se uma das condições estiverem cumpridas, este propaga-se pela rede local

Existem ainda outras teorias, mas que não colhem, por agora e por falta de prova, grande credibilidade. Uma delas é, de acordo com a imagem acima, a grande quantidade de ataques que vêm, alegadamente, de servidores do Microsoft Azure.

Existem ainda outras ferramentas disponíveis online que podem, no futuro, ser usadas para coisas semelhantes.

Como posso proteger-me e proteger a minha empresa?

Se usares Linux ou MacOS não estás afectado.

Em primeiro lugar, garante que tens esta actualização instalada no teu sistema operativo Windows.  Poderás consultar, no meio da página.
Podes também desativar manualmente o SMBv1 seguindo estes passos. No entanto, a recomendação é ter sempre o Windows atualizado.

Deves também instalar um antivírus (aqui tens alguns grátis) e manter sempre o sistema operativo actualizado.

Informações técnicas

O Centro Nacional de Cibersegurança – CNCS – enviou para a mailing list do Computer Security Incident Response Team a seguinte informação, que tecnicamente pode ajudar a mitigar o ataque.

Esta informação destina-se apenas a profissionais de TI que tenham a capacidade de fazer a gestão de servidores num contexto empresarial.

Consultar informação
Segue em baixo um resumo total do que foi DETETADO até agora e que podem
ter como base para efetuar alguma medidas de mitigação:

-> Endereços de origem do e-mail:
Camila bitencourt <smtp-4712@pigeondh1[.]com[.]br>
Tom <tom.congalton7741@hannahruscoe[.]co[.]uk>

-> O ramsomware cifra os seguintes documentos:
der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max
.3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg
.otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .dbf
.odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cpp .pas .asm .cmd .bat
.ps1 .vbs .dip .dch .sch .brd .jsp .php .asp .java .jar .class .mp3 .wav
.swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv
.wma .mid .m3u .m4u .djvu .svg .psd .nef .tiff .tif .cgm .raw .gif .png
.bmp .jpg .jpeg .vcd .iso .backup .zip .rar .tgz .tar .bak .tbk .bz2
.PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt
.onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml
.msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt
.xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot
.docm .docb .docx .doc

– Alterações das seguintes chaves de registo:
HKLM\SOFTWARE\MICROSOFT\WINDOWS
NT\CURRENTVERSION\Schedule\CompatibilityAdapter\Signatures\Microsoft
Update Scheduler.job

– URLs Maliciosos identificados:
<removidos por questões de segurança>

-> IPs C&C
Além dos IPs mencionados anteriormente nos e-mails anterires, seguem
mais IPs em baixo:
5.9.158.75
39.40.53.221
46.101.142.174
51.254.115.225
62.210.124.124
62.210.92.11:9001
78.194.220.54:9001
79.172.193.32
84.80.80.69
91.121.84.137:4051
91.134.139.207
91.219.237.229
94.23.204.175
104.238.167.111
128.31.0.39
128.31.0.39:9101
138.201.132.17:9001
144.76.42.239
144.76.92.176
163.172.149.155
171.25.193.77:443
171.25.193.9
177.12.161.34
188.42.216.83
194.109.206.212
198.199.90.205
198.96.155.3
213.61.66.117

-> Ficheiros criados:
00000000.eky
00000000.pky
00000000.res
@[email protected]
@[email protected]
b.wnry
c.wnry
f.wnry
r.wnry
s.wnry
t.wnry
u.wnry

-> “Hashes” identificadas:
Processo – _wanadecryptor_.exe
MD5 – 4f6de378df0ec22ee2446cf4d3ea6835
f529f4556a5126bba499c26d67892240
8dd63adb68ef053e044a5a2f46e0d2cd
7bf2b57f2a205768755c07f238fb32cc
SHA1 – 819d560b868946ae3d514068869cca837ab58f00
SHA256 – e3243c1982b06abca2adb777074542097c58c5e69a9791964ec2710b1a1b479c

-> Comandos executados:
<remoivido por questões de segurança>

-> Sistemas Afetados
Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

-> Resolução/Mitigação
– No “link da Microsoft, podem encontrar referências, atualizações ou
“workarounds” para mitigar o problema (SMBv1).
– Nos casos em isso não comprometa o acesso a recursos críticos da
infra-estrutura, uma forma de mitigar será o bloqueio de todas as
comunicações internas e externas associadas à porta 445.
– Dado que este ramsomware é executado por um Javascript, podem alterar
a aplicação que executa o mesmo este tipo de ficheiros para, por ex:
Notepad (ou aplicações similares).
– Para verificar se as máquinas end-point estão atualizadas com os
respetivos “patches” de segurança, podem utilizar ferramentas de gestão
centralizadas (ex: WSUS ou SCCM) ou na sua ausência garantir que têm
instalada, pelo menos, a atualização (“Cumulative Update” ou outros)
referenciada pela Microsoft no link abaixo para os vossos Sistemas
Operativos.

-> Referências
Microsoft:
hxxps[:]//technet[.]microsoft[.]com/en-us/library/security/ms17-010[.]aspx

 

Podes ver neste link como se estão a propagar os ataques, em tempo real.

Se existirem novas informações de relevo, iremos publica-las e actualizar este artigo, mantendo abaixo um “log” da edição.

Log

2017-05-12 21:11 – adicionado link com mapa em directo para se ver o ransomware em acção
2017-05-12 22:11 – adicionada secção Informações técnicas com dados do CNCS

 

 

Imagem: print do ransomware em Windows