WannaCry muda rotina de equipes de TI

Duas semanas após o susto com o WannaCry, que sequestrou dados de 300 mil computadores em 150 países, técnicos de empresas e órgãos do governo brasileiro contabilizam prejuízos e fazem mudanças para prevenir novas – e até mais graves – infecções

Era quase hora do almoço em Brasília quando chegou a notícia: uma das agências do Instituto Nacional de Seguro Social (INSS) em Barbacena (MG) tinha sido infectada por um ataque cibernético. Ao ligar a máquina, um aviso em tela vermelha indicava que o computador havia sido invadido e pedia um depósito em moeda virtual Bitcoin para liberar o sistema. A ordem de Ilton Fernandes Filho, coordenador geral de tecnologia do INSS, foi direta: aquela máquina deveria ser isolada. O trabalho nem tinha começado quando “pipocaram” em Brasília ligações de outras agências reportando o mesmo problema.

Fernandes tomou uma medida drástica: desligou todos os computadores da rede do INSS – o que interromperia o atendimento na tarde daquela sexta-feira, 12 de maio. Para isso, porém, era preciso ativar o comitê de crise da instituição – e muitos de seus membros estavam almoçando. O sistema do INSS só parou de fato às 14h – o que provocou uma redução de 80% nos atendimentos naquela tarde, na comparação com a média de atendimentos realizados no período em todo o País.

Não foi só o INSS que teve máquinas afetadas: empresas como a Telefônica, na Espanha, a Renault, na França, e o sistema de saúde pública no Reino Unido também foram infectados e paralisaram suas atividades. O culpado tinha um nome esquisito: WannaCry, um vírus de computador capaz de sequestrar os dados das máquinas e se espalhar pela internet. Ao todo, mais de 300 mil computadores em todo o mundo foram afetados pelo WannaCry – cerca de 2 mil deles estavam na rede do INSS. “Felizmente, os dados da rede da Previdência não foram afetados. Apenas foi perdido o que estava na área de trabalho de cada um desses computadores. Eram arquivos dos funcionários que utilizam aquelas máquinas”, explica Fernandes.

Inédito

Para especialistas em segurança, o WannaCry foi um ataque sem precedentes. “É o primeiro ransomworm da história, misturando dois tipos de ataques bem conhecidos: os ransomwares, invasões que criptografam os dados de uma máquina e pedem um resgate para liberá-los, e os worms, vírus que se propagam através de uma rede e exploram uma vulnerabilidade”, explica Fábio Assolini, analista de segurança da Kaspersky. Normalmente, osransomwares são direcionados a uma rede ou sistema, enquanto os worms se propagam pela rede sem direção específica.

Nascido no fim dos anos 1980, o sequestro de dados se tornou um tipo de ataque virtual comum nos últimos cinco anos. Isso se deve a dois fatores: o primeiro é o surgimento da moeda virtual Bitcoin, que tornou possível o pagamento dos resgate sem rastreamento.

“Além disso, a quantidade cada vez maior de dados armazenados em equipamentos e o alto valor desses dados tornou o ransomware comum”, explica Miriam von Zuben, analista do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), ligado ao Comitê Gestor da Internet no Brasil (CGI.br).

Para o professor Marcos Simplício, da Escola Politécnica da Universidade de São Paulo (USP), o ransomware mostra um amadurecimento do cibercrime. “No início, as vulnerabilidades eram exploradas por hackers apenas por orgulho, como forma de demonstrar seu poder de ataque. Eram vírus que só atrapalhavam as pessoas, impedindo um computador de ser ligado, por exemplo”, explica ele. “A partir do início dos anos 2000, as invasões também tornaram-se um negócio.”

Ensaio

Interesse comercial até havia nos criadores do WannaCry – um dos avisos da famigerada tela vermelha era algo na linha “pague US$ 300 em até três dias para ter de volta seus arquivos amados”. Depois desse prazo, o preço dobrava. No entanto, os hackers só faturaram cerca de US$ 110 mil com o golpe, valor considerado baixo pelos analistas de segurança para a proporção dos ataques.

Para Assolini, o baixo faturamento é um indício de que o WannaCry foi um ensaio para outros ataques maiores. Segundo o analista, o ransomware precisaria usar uma carteira de bitcoins específica para cada máquina infectada. “No WannaCry, foram usadas apenas três carteiras de bitcoins. O criminoso não tinha como saber qual máquina resgatar”, explica.

Além disso, o ataque cibernético tinha um sistema de autodestruição muito simples, que foi encontrado rapidamente por pesquisadores. Outro fator importante é o fato de que o WannaCry utilizou uma vulnerabilidade divulgada em abril e já corrigida pela Microsoft. As máquinas afetadas foram aquelas que usam sistemas operacionais antigos – como o Windows XP ou Windows 7 –, que desativaram as atualizações. “Ataques semelhantes com certeza vão aparecer no futuro. Sistemas operacionais sempre têm falhas”, avalia Simplício.

Proteção

Desligar computadores, como fez o INSS, é uma solução apenas provisória. “É uma medida apenas para ganhar tempo. Se a máquina estiver vulnerável, quando ela for ligada ela será atacada”, diz Assolini. Além disso, nem sempre as máquinas podem ser totalmente desligadas.

A equipe do Hospital Sírio-Libanês, em São Paulo, não tinha essa opção. “A Renault fechou as fábricas e mandou funcionários para casa. Nós não podemos fazer isso por causa dos pacientes”, diz Fernando Torelly, diretor executivo da instituição, que teve alguns de seus computadores infectados em uma das unidades do hospital. A saída foi isolar as máquinas infectadas e operar com apenas 40% dos computadores, além de seguir orientações da Microsoft para eliminar o risco para as 3,4 mil máquinas.

Após superar o transtorno, o Sírio-Libanês está usando o WannaCry como lição para reforçar seus sistemas de segurança. “Precisamos nos preparar”, explica Torelly. Agora, o hospital não contrata mais fornecedores de equipamentos que usam Windows XP. “A segurança da informação vai se tornar um elemento cada vez mais importante para a saúde”, diz Torelly.

Já o INSS, por sua vez, trabalha na recuperação das máquinas infectadas: depois do susto há duas semanas, os equipamentos foram recolhidos, enviados a Brasília e estão sendo recuperados pela equipe de Fernandes. “É difícil fazer a gestão de máquinas em todo o Brasil, às vezes a gente não consegue manter tudo atualizado. Estamos cuidando disso agora.”

Fonte: Estadão

Bug dos anos 90 coloca em risco usuários do Windows 7 e 8

Uma nova versão de um problema antigo voltou para assombrar os usuários de Windows 7 e 8.1: um bug permite a sites maliciosos explorar variações de um arquivo com nome “$MFT”, utilizado pelo sistema NTFS (New Technology File System, ou “Nova Tecnologia de Sistema de Arquivos”) para lidar com metadata específica. Isso causa lentidão e pode até mesmo trazer a famosa “Tela Azul da Morte” . A brecha não afeta o Windows 10.

Nos anos 90, uma falha permitia que usuários mal-intencionados pudessem derrubar o Windows 95 e 98 facilmente. Era só gerar um documento com denominação igual ao de outro essencial para causar problemas no funcionamento.

O que acontece atualmente é algo semelhante. Algumas aplicações pré-Windows 10 são batizadas de forma especial porque elas se relacionam com hardware, e não software. Ao visitar uma página que carrega uma referência ao “$MFT” em forma de diretório, o driver NFTS — que normalmente fica escondido e não pode ser manuseado — reage impedindo o acesso ao conjunto de dados, o que inicialmente já deixa tudo mais lerdo. Depois de certo tempo, a única solução é, então, reiniciar tudo.

Alguns navegadores bloqueiam a ameaça, porém o Internet Explorer mostrou-se vulnerável a esse tipo de ataque. A Microsoft foi contatada e ainda não lançou uma atualização para resolver isso. Enquanto isso, a dica é se manter distante de páginas e conteúdo duvidosos e manter seu Windows sempre em dia.

Fonte: Tecmundo e Ars Technica

Vem aí: um Windows 10 repaginado

Nas últimas semanas a Microsoft aproveitou um momento durante as apresentações da Build 2017 para revelar a nova atualização do Windows 10. Intitulada Windows 10 Fall Creators Update, ela estará disponível para o público em algum momento no final deste ano.

“Criamos o Windows 10 para empoderar o criador que existe em todos nós. Estamos entusiasmados por nossos clientes poderem aproveitar os novos recursos do Windows 10 Fall Creators Update que irão proporcionar experiências inovadoras, um design moderno e unificado para experiências em vários dispositivos e um caminho mais fácil para os desenvolvedores criarem para o futuro da computação”, comentou Terry Myerson, vice-presidente executivo do grupo de dispositivos Windows da Microsoft.

E o que vem de novo por aí?

Uma das novidades anunciadas é o Microsoft Fluent Design System, que foi criado para oferecer aos usuários experiências e interações intuitivas, responsivas e inclusivas entre dispositivos. No caso dos desenvolvedores, será possível criar aplicativos mais expressivos e envolventes que funcionam em vários aparelhos.

Outra novidade anunciada na ocasião é o Microsoft Graph, ferramenta com vários recursos que ajuda a conectar pontos entre pessoas, conversas, projetos e conteúdo dentro da nuvem da Microsoft. Com o auxílio da Timeline, por exemplo, é possível voltar no tempo com uma linha que exibe o que você estava fazendo anteriormente, e a Cortana também marca presença aqui para ajudar a escolher onde parou em dispositivos Windows, iOS e Android.

Ainda dentro do Graph podemos encontrar a Área de Transferência, que oferece recursos para copiar e colar qualquer coisa entre dispositivos conectados (é possível passar algo do desktop para um telefone, por exemplo). Por fim, o OneDrive Files on Demand dá acesso a todos os arquivos na nuvem sem precisar baixá-los e, de quebra, poupando espaço do dispositivo.

Ainda no sentido de criação há o Windows Story Remix, considerado pela empresa de Bill Gates como “uma nova maneira de transformar suas fotos em vídeos”. Utilizando inteligência artificial, o sistema vai ser capaz de aprender maneiras de transformar suas fotos e vídeos em histórias, tendo aí a possibilidade de adicionar objetos 3D às suas criações.

Recursos para todos

Achou que o pacote apresentado estava bom o bastante? Pois a empresa de Bill Gates ainda tem mais, como a adição de aplicativos como o iTunes (que chega no final do ano) e a SAP Digital Boardroom (disponível ainda neste mês) à Windows Store, além de ferramentas como o .NET Standard 2.0 para UWP e XAML Standard para desenvolvedores.

Por fim, também houve a menção de que a Microsoft está trabalhando em conjunto com desenvolvedores para dar aos usuários a possibilidade de experimentar aquilo que a realidade mista tem a oferecer graças ao Windows Mixed Reality, além de revelar os primeiros controles de movimento que não exigem marcadores, oferecendo um rastreamento mais preciso e responsivo.

Fonte: Tecmundo

Baixar legendas de séries pode ser um risco para a sua segurança

Você costuma ver séries baixadas da internet? Se a resposta for sim e você também baixar legendas para ver esses vídeos, seu computador pode estar em risco para ataques de hackers mal intencionados.

De acordo com a empresa de segurança digital Check Point, o reprodutor de vídeos VLC, bem como o Popcorn Time, o Kodi e o strem.io têm uma falha de segurança que permite que seu computador seja controlado remotamente. Isso pode culminar a instalação de malware ou mesmo um ransonware, que sequestra os dados do seu PC e pede pagamento em dinheiro para liberá-lo.

Essa técnica também pode servir para transformar o seu computador em um dos “soldados virtuais” usados por grupos de hackers que promovem ataques de negação de serviço (múltiplos acessos simultâneos que tiram sites do ar e podem causar prejuízos milionários a empresas).

A Check Point indica que a falha afeta cerca de 200 milhões de computadores de usuários que veem séries baixadas ou transmitidas da internet. Netflix não aparece na lista de serviços problemáticos indicados pela empresa de segurança (ufa).

Para entrar na lista de legendas mais indicadas para o download e promover o ataque, os hackers mal intencionados publicam uma versão falsa da legenda em repositórios online e manipulam o ranking para que elas apareçam no topo.

O programa VLC já teve mais de 170 milhões de downloads, enquanto o Kodi tem mais de 40 milhões de usuários por mês. A Check Point estima que o Popcorn Time também esteja na casa dos milhões de usuários.

O problema que dá margem a esse tipo de ataque hacker é que não há uma padronização no formato de legendas usado na internet. Programas que baixam legendas diretamente de sites podem ajudar a evitar o download de arquivos maliciosos.

VLC, PopcornTime, Kodi e strem.io já tem correções para essa vulnerabilidade de segurança em seus respectivos sites. O Kodi ainda está em fase de implementação dessa correção.

Veja como é a invasão de um hacker ao computador de uma vítima por meio do download e execução de legendas no vídeo abaixo, divulgado pela Checkpoint.

Fonte: Exame

Crackers de Brasil e Rússia “trabalham” juntos

O cibercrime na América Latina – e principalmente no Brasil – está em crescimento. Quem garante é Dmitry Bestuzhev, chefe de pesquisa e análise da Kaspersky Lab para a região. Ponderando mais os riscos, os criminosos locais que praticam golpes financeiros também fizeram dois movimentos nos últimos anos: tiraram o foco do correntista para atacar diretamente os bancos e passaram a contar com a ajuda de estrangeiros para invadir os sistemas.

“Os criminosos brasileiros estão trabalhando mano a mano [de mãos dadas, em potuguês] com criminosos de outros países. Não somente latino-americanos, estamos falando de bandidos da Europa Oriental, de países como Rússia, Ucrânia e outros”, afirma. Durante o evento, foram mostrados casos envolvendo equipes anônimas que atacaram em várias regiões simultaneamente ou com código semelhante, dando indícios de que há colaboração.

Mas nem tudo é tão elaborado. O importante desta conexão é compartilhar os códigos e trabalhar de forma associada para dividir os ganhos. “Para isso estão utilizando tradutor on-line como Google Tradutor e [o concorrente russo] Yandex Translator”, explica.

Bestuzhev sinaliza que muitos hackers russos não falam inglês. E também são poucos os golpistas brasileiros que falam russo. “Para não perder oportunidades, usam tradutores para se comunicar. Temos encontrado várias evidências disso”, acrescenta.

Ainda de acordo com as análises, os grupos estão mais fortificados e, neste momento acreditam que atacar os bancos — e não os clientes dos bancos — é mais efetivo. Os criminosos querem correr cada vez menos riscos para ganhar cada vez mais dinheiro. Logo, não vale a pena atacar o usuário comum que vai pagar pouco ou ter valores menores em suas contas bancárias. Já os cofres dos bancos estão sempre cheios.

Golpe de roteador “é coisa nossa”

Temos muitos aparelhos eletrônicos em casa como Smart TV, celular, outro celular, e todos se conectam no mesmo dispositivo: o roteador. Se o criminoso obtém o controle do roteador, obtém o controle sobre todos os aparelhos conectados. “O Brasil é um dos países em que os criminosos vêm obtendo muito êxito explorando vulnerabilidades em roteadores e causando muitos danos”, alerta Bestuzhev. O golpe já tem ‘a cara do país’.

“Nesta escala não vemos em outros países além do Brasil. Falamos de centenas de milhares de roteadores comprometidos”, pontuou. Usuários que não trocam senhas, não fazem manutenção e aparelhos vendidos por fabricantes irresponsáveis causam o caos.

A responsabilidade por proteger o roteador, segundo Bestuzhev, é uma bola dividida. Há fabricantes que não se preocupam em oferecer correções de software para o consumidor, enquanto outros preferem disponibilizar patches com correções. Ainda é preciso envolver o usuário no processo de atualização, o que na maioria das vezes não é tão simples.

Fonte: Techtudo

Brasil: o sexto país no mundo em vulnerabilidade a Ransomware

Cerca de 250 empresas brasileiras foram afetadas pelo ataque global de hackers do último dia 12, que disseminou o vírus WannaCry para sequestrar informações de computadores de empresas e instituições em mais de uma centena de países. O número consta de levantamento da MalwareTech, que mostra o setor de telecomunicações como o mais afetado no país. O Brasil é considerado pela empresa de segurança Kaspersky o sexto país mais vulnerável a vírus do tipo ramsonware — que bloqueia os arquivos de um computador até o pagamento de um resgate — atrás de Rússia, Ucrânia, China, Índia e México.

No ano passado, o país teria sofrido 64,2 mil tentativas de invasão por dia, segundo dados da Symantec, patamar quase três vezes maior em relação ao ano anterior. A previsão é que o número aumente ainda mais neste ano. Do total de ataques, 80% foram tipos de vírus que surgiram no ano passado, destacou André Carraretto, estrategista em cibersegurança da Symantec. Com mais vírus por aqui, o Brasil também tem se tornado o ponto de origem de ataques à rede, como o que ocorreu semana passada. Se em 2015, o país representava 2% da origem dos ataques em todo o mundo, no ano passado, esse número subiu para 14%.

NO BRASIL, EMPRESAS TÊM ATITUDE REATIVA

Para Carraretto, esse avanço é reflexo da falta de investimento. Segundo ele, à exceção dos bancos, o assunto não costuma ser discutido no âmbito do Conselho de Administração das companhias.

— No Brasil há uma postura reativa. As empresas precisam ter uma estratégia em segurança. Hoje, os setores mais expostos a vírus no país são varejo, agricultura e indústrias. As pequenas e médias são os principais alvos dos hackers — destacou.

As estimativas de investimento de empresas brasileiras em segurança digital variam de US$ 200 milhões a US$ 1 bilhão por ano, mas analistas são unânimes em afirmar que as empresas deveriam destinar mais recursos para evitar dor de cabeça. A estimativa da Kaspersky é que as companhias invistam de 0,5% a 0,6% do orçamento da companhia em segurança da informação. Nos EUA e na Europa, o indicador chega a 3% ou 4% por ano.

— O investimento é pequeno. As empresas se comportam como usuários caseiros e veem segurança como commodity. Há empresas que usam softwares gratuitos para quase todos os funcionários e colocam um sistema de segurança maior em alguns equipamentos. Isso cria uma falsa sensação de segurança. O WannaCry chegou ao Brasil em uma hora e meia — afirma Roberto Rebouças, gerente-geral da Kaspersky.

Os pagamentos em bitcoins em todo o mundo no ataque do último dia 12 somaram US$ 95 mil, segundo a Kaspersky. O valor é baixo, analisa a Stefanini Rafael, joint-venture entre a brasileira Stefanini e a estatal israelense de defesa cibernética Rafael, se comparado ao potencial de prejuízo que esse tipo de ação causa à imagem das empresas. E mais ainda quando se considera a hipótese de paralisação das atividades para evitar o alastramento da contaminação.

HOSPITAIS ESTÃO ENTRE OS MAIS VISADOS

Uma indústria paulista que foi alvo dos hackers no dia 12 e teve seu IP bloqueado pela Secretaria da Fazenda de São Paulo, por exemplo, ficou impedida de emitir notas fiscais e deixou de faturar R$ 3 milhões naquele dia.

— Estimativas indicam que uma empresa deve aplicar de 5% a 15% do que investem em tecnologia da informação (TI) na segurança digital. No Brasil, não é assim. São investidos em média de 2% a 3% — diz Carlos Alberto Costa, diretor geral da Stefanini Rafael.

Especialistas apontam que o ataque do WannaCry colocou muitas empresas em estado de alerta. A procura por consultoria e novas soluções de segurança deve aumentar em 30% o volume de negócios das empresas que fornecem soluções como antivírus. Para Marco Ribeiro, da consultoria global Protiviti, o baixo investimento no setor está associado à recessão.

— Não investimos o suficiente. Em média, uma pessoa leva 200 dias para identificar que foi atacada. Com o ataque global, pode haver uma mudança de percepção. Esperamos aumento de 30% na busca por consultorias e novos serviços — acrescentou.

Segundo o professor do curso de Cibersegurança do Centro Universitário Salesiano de São Paulo (Unisal), em Campinas, Paulo Brito, o novo vírus fez as empresas brasileiras atentarem para o fato de que o risco de perda de dados é grande. Ele destacou os problemas ocorridos no sistema do INSS, no Tribunal de São Paulo, além de grandes companhias terem desligado seus sistemas. Segundo ele, isso ocorre porque o Brasil não tem uma lei que obrigue a divulgação de informações sobre o vazamento de dados, como ocorre nos Estados Unidos.

— Como as empresas no Brasil não são obrigadas a divulgar essas informações, tendemos a achar que está tudo bem. Os ataques vão aumentar — avalia.

Os setores mais bem preparados em segurança digital no país, segundo Costa, da Stefanini, são o financeiro, o de telecomunicações e o de comércio eletrônico. Mesmo assim, uma das empresas mais afetadas pela ofensiva do WannaCry no Brasil e no mundo foi a Telefónica. Com a invasão de computadores de sua sede na Espanha, a unidade brasileira foi orientada a não ligar os computadores para evitar o alastramento do vírus.

A possibilidade de os hacker desencadearem a contaminação de computadores sem que o usuário tenha que acionar um link (sem interação humana) foi outra novidade descoberta na semana passada sobre a ofensiva do WannaCry, segundo Fábio Assolini, analista da Kaspersky. Segundo ele, até a quinta-feira da semana passada, não se conhecia versão do ransomware capaz de iniciar a contaminação sem que o usuário da máquina desse um clique no arquivo ou link malicioso.

— Todos os ransomware conhecidos até então dependiam de enganar uma vítima. O WannaCry, para se disseminar numa rede, agora, não requer interação humana alguma, basta encontrar uma porta para se espalhar. Por isso, a abrangência foi tão grande — explicou.

Entre os setores que menos investem em segurança digital destaca-se o de saúde, observou o diretor da Stefanini Rafael. O prestigiado hospital Sírio Libanês, em São Paulo, foi atacado e, segundo um funcionário que pediu para não se identificar, todo o sistema no qual os exames e protocolos de pacientes são armazenados ficou fora do ar até domingo. Os atendimentos eram feitos por fichas preenchidas manualmente. Durante todo o fim de semana, os pacientes não conseguiram agendar exames. Em nota, o hospital informou que “alguns de seus sistemas foram afetados” pelo ciberataque, acrescentando que não houve interrupção de processos assistenciais ou perda de informações relativas a pacientes.

— Os hospitais gastam milhões em equipamentos complexos, que são conectados à rede e que também podem ser invadidos, como os tomógrafos por exemplo, mas não aplicam milhares de reais na segurança digital — afirmou Costa, da Stefanini.

FALTA DE LEGISLAÇÃO DIFICULTA CONTROLE

Wolmer Godoi, diretor de cibersegurança da Cipher, classifica o brasileiro como um “anestesiado digital”. Segundo ele, o fato de não existir uma legislação no Brasil para a divulgação de vazamento de informação e perda de dados faz com que não se tenha registros sobre esses problemas.

— É preciso uma legislação para mudar isso. Por isso, não se fica sabendo dos problemas que ocorrem com os hackers no Brasil em empresas privadas. O investimento está aquém do necessário. Ainda temos o problema cultural, de achar que o problema não vai chegar aqui — afirmou Godoi, destacando que também vem registrando maior procura de empresas após o ataque global.

Fonte: O Globo

Criadores do WannaCry agora buscam vender exploits para o Windows 10

O ransomware WannaCry, que assolou o mundo na sexta-feira passada (12), nasceu em ferramentas de espionagem desenvolvidas pela agência de segurança nacional norte-americana NSA. Acontece que, no começo desse ano, essas ferramentas foram vazadas na internet — e isso se tornou o ponto inicial dos problemas que enfrentamos até agora no que toca o ransomware. O principal grupo por trás desse vazamento é conhecido como Shadow Brokers, e agora eles estão ameaçando vender exploits para Windows 10.

Os códigos serão vendidos para qualquer pessoa interessada em pagar por eles

Caso você não saiba, o ransomware WannaCrypt afetou apenas computadores com sistema operacional Windows XP e Server 2003 — exatamente por isso o âmbito corporativo e governamental foi o mais afetado. Porém, se o Shadow Brokers realmente tiver esses exploits para Windows 10, a situação para usuários domésticos fica mais delicada.

De acordo com uma postagem em blog próprio, o Shadow Brokers disse que venderá os códigos para qualquer pessoa interessada em pagar por eles. Além disso, que eles estão preparando vazamentos mensais de ferramentas hackers que podem desde invadir navegadores até smartphones e sistemas operacionais.

O grupo hacker comentou que vai liberar todos os detalhes sobre a venda e os vazamentos em junho deste ano.

Fonte: Tecmundo