Funcionários de diversas companhias ao redor do mundo tiveram seus trabalhos interrompidos devido a ataques cibernéticos em larga escala. Segundo a Kaspersky Lab, foram relatados problemas em 74 países como Estados Unidos, Brasil, Japão, Turquia, Filipinas, entre muitos outros europeus. Segundo informações divulgadas em vários portais de notícias, a maior parte dos equipamentos foi criptografada, sendo exigido um resgate no valor de US$ 300,00 em bitcoins.
No Reino Unido, ao menos 16 hospitais públicos enfrentaram problemas nas redes internas. De acordo com o jornal The Guardian, hospitais ingleses tiveram que cancelar consultas de rotina e as ambulâncias foram direcionadas para outros hospitais. O fundo que administra quatro instituições envolvidas, a East and North Herts NHS, divulgou problemas nos sistemas de comunicação e de telefonia, não atingindo dados de pacientes.
Na Espanha, diversas empresas, incluindo a unidade espanhola da Vodafone, a companhia de energia elétrica Iberdrola e a Gas Natural pediram para suas equipes desligarem computadores como medidas de prevenção, disseram porta-vozes.
Na sede na Telefónica, em Madri, colaboradores foram instruídos a desligarem imediatamente seus equipamentos por meio de megafones. Logo cedo, o órgão de segurança digital da Espanha alertou para um ataque de grandes proporções que atingiu várias empresas. Segundo a Reuters, “houve um alerta relacionado a um ataque maciço de tipo ‘ransomware’ contra várias organizações e que está afetando sistemas Windows”, informou o Centro Nacional de Criptologia da Espanha, adicionando que um grande número de empresas foram afetadas.
Especula-se que cerca de 85% dos computadores da Telefónica tenham sido atingidos, mas, segundo Chema Alonso, diretor do setor de dados da Telefónica e especialista em segurança cibernética, há apenas problemas com sistemas de TI e que a falha afetou apenas a rede interna, não impactando clientes ou serviços da prestados pela instituição. “As notícias (sobre o ataque) foram exageradas e nossos colegas estão trabalhando no problema nesse momento”, disse em entrevista à Agência Reuters.
No Brasil, o site do Tribunal de Justiça de São Paulo, do Ministério Público e INSS saíram do ar, no entanto, a decisão foi tirar o serviço de operação por precaução. Há também relatos de ataques contra outras instituições públicas e privadas, embora não tenham sido confirmados pelas assessorias.
O que pode ter acontecido
Segundo Jakub Kroustek, líder da equipe do laboratório de ameaças no Avast, foi observado um pico maciço de ataques do WanaCrypt0r 2.0, com mais de 36.000 detecções. Uma observação interessante é que a maioria dos ataques de hoje está direcionada para a Rússia, Ucrânia e Taiwan.
“Recentemente, observamos grandes variedades de ransomware sendo entregues através de documentos maliciosos do Office, que contêm macros, enviados via e-mail, bem como através de kits de exploração. Se a contaminação do ransomware é via anexo de e-mail, um documento do Office malicioso precisa ser aberto e, em seguida, as macros ser habilitadas para que o ransomware seja baixado. No caso do ransomware infectar via um exploit, normalmente um site malicioso é visitado e, em seguida, um computador com uma vulnerabilidade tipo zero day é explorado para a infecção”, explica Kroustek.
“A comunidade de segurança previa há algumas semanas uma situação dessas por conta do potencial da vulnerabilidade e é exatamente isso que estamos vendo agora. Este é em potencial um dos maiores ciberataques da década e ainda está em andamento”, opinou Carlos Borges, especialista em cibersegurança do Arcon Labs.
Segundo o executivo, uma vez que a infecção por WannaCry ocorre ele pode se espalhar na rede e infectar outras máquinas, se aproveitando de uma vulnerabilidade divulgada a cerca de um mês pelo grupo ShadowBrokers. Essa vulnerabilidade já possui correção publicada pela Microsoft(MS17-010).
Para evitar algum tipo de contaminação a Arcon recomenda aplicar o patch MS17-010 nos sistemas afetados (mais detalhes no boletim Microsoft) e isolar sistemas legados e sem suporte, como Windows XP e Server 2003.