Nos últimos dias a Warpcom tem recebido vários contactos com pedidos de informação e de recomendação sobre o recente ataque de Ransomware, aos quais temos respondido deforma individualizada, mas cuja informação é relevante partilhar com todos os nossos clientes.
Os ataques de “Ransomware”, ou ataques de encriptação de dados e consequente chantagem para recuperação dos mesmos e roubo de informação, embora já conhecidos, alcançaram uma relevância significativa devido a uma ocorrência recente que correspondeu a um ataque massivo iniciado no passado dia 12 de Maio.
Este tipo de ataques, normalmente de menor dimensão e menos divulgados pela comunicação social, são algo que tem vindo a acontecer todos os dias por todo o mundo, afetando inclusivamente várias entidades em Portugal.
As entidades que se encontram particularmente vulneráveis apresentam diversas características comuns, nomeadamente:
- Utilizam ainda sistemas operativos não suportados pelos fabricantes, nomeadamente Windows XP, Windows 8, Windows 2003;
- Possuem sistemas operativos suportados, mas não atualizados com os últimos patchs;
- Não possuem segurança de perímetro/datacenter em vários níveis;
- Não possuem uma política ativa de backups dentro efora da sua rede;
- Não possuem uma política ativa de deteção de vulnerabilidades na infraestrutura de comunicações e sistemas;
- Não possuem uma solução de proteção do endpoint (antivírus/antimalware).
Como atividade de prevenção e de boas práticas, para além da resolução das medidas identificadas e da adoção de software de prevenção de ransomware, recomendamos também uma utilização cautelosa e responsável a todos os utilizadores, atuando da seguinte forma:
- Bloqueio de anexos protegidos ou encriptados;
- Evitar a abertura de emails de desconhecidos;
- Ter cuidado ao clicar em links potencialmente prejudiciais, e que se encontrem dentro dos e-mails;
- Desconfiar de sites inseguros ou não confiáveis;
- Desconfiar de emails que utilizam nomes semelhantes a serviços comuns como PayPal, CTT, entidades bancárias ou outras entidades de distribuição, quando contêm caracteres excessivos ou quando não teria motivo para os receber;
- Nunca clicar num link em que não confia, seja num site, Facebook ou em aplicativos de mensagens;
- Receção de mensagens de fonte conhecida contendo links, confirmar com o originador antes de abrir o referido link;
- Utilizar um antivírus reconhecido e sempre com a última atualização.
Links que podem ser consultados com informação relevante sobre a recente ocorrência:
Informação Técnica sobre o WannaCry
http://blog.talosintelligence.com/2017/05/wannacry.html
Assinaturas de IPS
Microsoft Windows EternalBlueSMB Remote Code Execution
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
;http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0144)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0145)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0145
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0146)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0146
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0147)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0147
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0148)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0148
Atualização de Sistemas Operativos Afetados
Fonte: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Download de security updates (English Language): Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86,Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86,Windows 8 x64
Download localized versions for the security update for Windows XP, Windows 8 or Windows Server: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
A Warpcom, enquanto entidade possuidora de uma vasta experiência e know-how no desenho e integração de soluções de tecnologias de informação e de comunicação, e detentora de uma oferta completa de soluções e serviços na área da ciber-segurança, suportada em parcerias tecnológicas de referência mundial, encontra-se disponível para analisar as especificidades de cada um dos seus clientes de forma a desenhar uma solução adaptada a cada desafio.
Em caso de dúvida ou questões adicionais, por favor não hesite em contactar-nos.
Manuel Mira
Operations Director