
Hoje apareceram nos meios de comunicação várias noticias sobre um ataque informático à escala global relacionado com Ransomware…
Não percebi bem a razão de tanto empolamento destas notícias pois isto é o dia a dia da informática.
Impedir que estes ficheiros maliciosos cheguem aos utilizadores menos conhecedores e sejam executados por eles é o objectivo de qualquer departamento de informática.
À primeira vista não me parece ser uma coisa pudesse dar origem a tão grande alarido.
Só depois de investigar um pouco é que percebi que há algo mais…
Ao passo que o normal Ransomware tem um vetor de ataque normalmente por email e necessita de ser executado e auto destrói-se cifrando a maquina onde se executou e automaticamente sendo contido a essa maquina.
Neste ataque aparentemente o malware utiliza alguma técnica não divulgada para se propagar na infraestrutura causando um problema maior e de difícil contenção.
Pelo que li utiliza uma vulnerabilidade que foi corrigida pela microsoft em Março e divulgada em larga escala em Abril pelo grupo de nome ShadowBrokers.
A vulnerabilidade é a MS17-010.
A utilização deste exploit é que veio dar mais visibilidade a este ataque.
Mais uma vez as estatísticas não enganam, dizem que o tempo médio de passagem de um exploit dia zero á sua inclusão num malware é por norma 2 a 3 meses… 🙁
As empresas deveriam ter em consideração este tempo para o seu Ciclo de Patch Management.
Mais uma vez não se compreende como passados 2 meses de terem solução para este problema há ainda empresas que se deixam afectar por este tipo de incidentes.
Se as máquinas que estão na rede não podem ser actualizadas o mais rápido possível então as empresas devem implementar outras soluções que dificultem a propagação destes virus, isolando as maquinas noutras redes e deixando apenas os serviços necessários disponíveis criando assim o máximo de isolamento possível e uma segurança por camadas.
Hoje em dia a utilização de topologias planas nas infra-estrutura é uma dádiva a qualquer atacante.
Mais informação:
[alert type=”success”]
A única forma de eficiente de mitigar um ataque deste tipo é implementar políticas de backup e ter os sistemas operativos em dia.
[/alert]