Centro Nacional de Cibersegurança não tem reporte incidentes Portugal

Publicado em 29/06/2017 01:22 em Segurança Informática

O Centro Nacional de Cibersegurança (CNCS) português anunciou hoje que não recebeu reporte de qualquer incidente de segurança informática no país relacionado com o ataque internacional de ransomware.

Em comunicado, o CNCS aconselha a organizações portuguesas a tomarem medidas preventivas, que incluem actualizações dos sistemas operativos e restante software, com destaque para a actualização MS17-010 em sistemas Microsoft, a avaliação da necessidade do Windows Management Instrumentation Command Line (que é utilizado pelo malware) e a sua desactivação se isso não for prejudicial para o sistema.

O CNCS aconselha as organizações a, caso o sistema reinicie e apareça o texto de resgate, que o desliguem de imediato e tentem recuperar os dados através de um live CD ou ligando o disco rígido externamente a uma máquina não infectada.

O CNCS afirma que são princípios básicos a seguir suspeitar sempre de ficheiros e links não esperados ou estranhos, realizar cópias de segurança frequentes, não utilizar sistemas operativos que não tenham suporte do fabricante e ter boas ferramentas anti malware permanentemente actualizadas.

Conselhos que, com algumas variações, são coincidentes para a generalidade das empresas de segurança informática que analisam este ataque.

A Europol, organismo de coordenação policial da União Europeia, afirma que infra-estruturas críticas e de negócio estão a ser alvo de uma nova onda de ransomware com uma versão actualizada do Petya, indicando que o ataque fez vítimas em todo o mundo e que a ameaça ainda não foi neutralizada.

Em comunicado, a Europol indica que logo após o início do ataque pôs um funcionamento uma célula de coordenação e está a monitorizar activamente a dimensão da ameaça em estreito contacto com as autoridades dos países afectados e as organizações, indicando que não é possível de momento saber quantas vítimas foram infectadas.

A Kaspersky falou terça-feira em mais de 2 mil ataques.

Bob Wainrikght, director executivo da Europol, citado no comunicado, destaca que este é mais um ataque global de ransomware com forte impacto , com um número de afectados ainda desconhecido, que tem claras semelhanças com o ataque do WannaCry mas com capacidades mais sofisticadas.

O responsável da Europol recomenda às organizações afectadas que não paguem resgate porque não só estarão a financiar o crime como é improvável que recuperem o acesso aos seus sistemas, sublinhando que a conta de correio electrónico usada para gerir os pedidos de resgate foi desactivada, deixando os atacantes sem acesso ao seu único canal de comunicação até ao momento conhecido.

Aconselha os afectados a comunicarem os ataques à polícia e a desligarem os sistemas Internet, tentando isolar os dispositivos do resto da rede em que se integram.

Para quem não foi ainda afectado, a Europol aconselha a manter software e sistemas operativos actualizados, fazerem cópias de segurança dos dados e usarem produtos de segurança informáticos robustos.

Entretanto, continua a não haver unanimidade sobre que ransomware está na origem do ataque em grande escala que se manifestou terça-feira.

Enquanto algumas empresas de segurança falam numa variante do Petya, a Kaspersky baptizou-o de NotPetya para significar que era um malware novo e não uma variante do Petya e a Sophos chama-lhe PetyaWrap.

A ESET admite que está relacionado com a família Petya mas é diferente e usa a designação dada pela Kaspersky, enquanto a Cisco lhe chama Nyetya, devido às diferenças relativamente às variantes Petya, Petrwrap ou GoldenEye, e destaca as semelhanças com o comportamento do WannaCry, que em Maio infectou um grande número de empresas à escala mundial.

A Cisco destaca que o novo ransomware infecta o Master Boot Record (MBR) da máquina infectada, o que impede os afectados de recuperar a informação a partir daí, e pede um resgate para a recuperação dos dados cifrados.

A Cisco recorda que no seu relatório semestral de Julho passado previu o aparecimento de novas variantes de ransomware mais destrutivas, com maior capacidade de se auto-replicarem e de sequestrem redes inteiras, indicando que os atacantes poderão mudar rapidamente as suas tácticas para maximizar a sua eficácia.

A companhia de segurança informática ESET assegura que identificou uma empresa de software de contabilidade ucraniana, chamada M.E.Doc, como o «ponto zero» deste ataque, a partir da qual o ransomware se disseminou.

A ESET afirma que foi uma boa escolha dos cibercriminosos porque a empresa produz um software de contabilidade muito usado na Ucrânia em diferentes sectores económicos, incluindo o financeiro.

Acrescenta que vários utilizadores utilizaram uma actualização do software da empresa que tinha sido infectada por um cavalo de Tróia, permitindo aos atacantes lançarem a campanha de ransomware que se espalhou rapidamente pela Ucrânia e afectou países como Itália, Israel, Sérvia, Roménia, Estados Unidos, Lituânia e Hungria.

Outros países como a Rússia, Alemanha, França, Dinamarca, Reino Unido, Holanda e Polónia terão sido igualmente afectados.

A Trend Micro identifica o malware como uma variante do Petya, que usa o exploit utilizado pelo WannaCry e modifica o MBR.

A Check Point destaca que, ao contrário de outros tipos de ransomware, este ataque não cifra os ficheiros um por um mas bloqueia todo o disco rígido.

No entanto, a Check Point considera que o método de infecção ainda não é claro, mas tem a capacidade de se expandir de forma semelhante ao WannaCry.

A Sophos afirma que o PetyaWrap inclui novos conceitos e componentes em relação ao Petya e que se comporta como um worm (verme), tal como o WannaCry, e tem uma funcionalidade de procura de passwords que lhe permite controlar a rede e ter acesso a outros computadores.

As autoridades policiais e as empresas de segurança informática coincidem num conselho às organizações infectadas para que não paguem resgate.

Ainda sem comentários