<p>Embora o susto aparentemente tenha passado e os infectados já tenham retomado suas atividades, o que a maioria não sabe é que o dano poderia ser muito maior. A quantidade de dados vazados pela NSA equivale a mais 8 ataques, além do que ocorreu no dia 12 de maio. Assustador, não?<br /> <br />Entretanto, o que é mais espantoso é o despreparo das empresas em relação a este tipo de incidente, uma vez que novas vulnerabilidades são descobertas, disponibilizadas e até comercializadas diariamente. Além disso, não é novidade para ninguém que todos os dias surgem ameaças cada vez mais avançadas.<br /> <br />O WannaCry ou WannaCrypt surgiu a partir de uma invasão realizada em 2016 na Agência Nacional de Segurança (NSA) norte-americana. O grupo de hackers Shadow Brokers alegou o roubo da “suíte” de invasão apelidada de FuzzBunch, que possuía o EternalBlue, desenvolvido em 2013 e usado pela NSA para espionagens em ambientes com sistemas operacionais da Microsoft. Diversas fontes afirmam que foram localizados links do malware com a Coreia do Norte. O EternalBlue serviu de base para a criação do WannaCry, porém outras ferramentas do tipo também estavam no “pacote” invadido pelo grupo hacker.<br /> <br />Ainda em 2016, o Shadow Brokers publicou na deep web um leilão do ransomware WannaCry, com o EternalBlue incorporado em seu código fonte, com a proposta de 1 milhão de Bitcoins. Sem sucesso, em janeiro de 2017 foi realizada uma nova oferta de ferramentas de espionagem exclusivas para sistemas Windows, incluindo o WannaCry. Desta vez o valor chegava a 100 Bitcoins (US$ 80 mil).<br /> <br />Ao descobrir a vulnerabilidade, a Microsoft disponibilizou diversas atualizações de segurança em março de 2017. A instalação do patch e atualização do sistema teriam evitado a infecção nas máquinas atingidas. Entretanto, as atualizações para as versões Windows XP, 8 Server 2003 e 2008 só foram disponibilizadas em 13 de maio. <br /> <br />O que também muita gente não sabe é que as primeiras infecções causadas pelo WannaCry foram feitas por meio de redes BOTNET que realizavam varreduras em IPs da internet a fim de verificar vulnerabilidades em relação ao patch de segurança disponibilizado pela Microsoft em março deste ano, sem precisar da interação “humana” como por exemplo ataques de phishing. Após contaminar a máquina, o malware se encarrega de localizar outras máquinas vulneráveis na mesma rede e propaga o vírus.<br /> <br />Apesar de todo o histórico, as infecções ocorreram por falhas simples de segurança, que poderiam ter sido evitadas com a atualizações constantes do sistema operacional e aplicativos, além da implantação de políticas de segurança mais assertivas. A falta de atenção quanto a e-mails e programas maliciosos, algo que é utilizado há tanto tempo pelos invasores, revela que a proteção dos dados precisa ser levada mais a sério por usuários e empresas.<br /> <br />Para quem ainda não se protegeu, mas se safou do ataque, é fundamental instalar todas as atualizações disponibilizadas pela Microsoft, antivírus e demais programas utilizados. Outra dica é usar o firewall de forma mais inteligente, desabilitando o protocolo SMB das máquinas com o auxílio deste <a href=”https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server”>tutorial</a>. Se o sistema operacional utilizado não possui mais suporte, é possível <a href=”http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598″>instalar os patchs de segurança emergenciais</a> disponibilizados pela Microsoft. Se você foi atingido, garanta que o dispositivo infectado seja formatado antes de restaurar o backup dos dados, caso tenha. No caso de empresas, além de todas estas ações, recomenda-se a manutenção constante de toda a rede por profissionais ou empresas confiáveis que avaliem todos os gargalos a fim de implementar as melhores soluções de acordo com a necessidade de cada negócio.<br /> <br />Os ataques só são bem sucedidos porque recomendações teoricamente óbvias como estas não são seguidas por empresas e usuários. Que tal dar mais atenção a segurança dos seus dados desde já? Os ataques não possuem aviso prévio. Vai esperar pelo próximo?<br /> <br /><em>(*) Gerente de Segurança da Informação da REDBELT.</em></p>
