2017/05/12

Ataque de ransomware lança pânico na Telefonica, Vodafone, MEO e outros


Os operadores de telecomunicações e outras grandes empresas estão neste momento a pedir a todos os funcionários que desliguem os computadores, devido a um novo ataque de ransomware que parece ser direccionado para este sector.

Os ataques de ransomware não são novidade, mas os casos em que afectam empresas de grande dimensão não são muito frequentes (pelo menos, que se saiba). Este novo ataque parece ter encontrado forma de contornar os sistemas de segurança que estas empresas têm implementados, tendo conseguido chegar a um servidor interno da Telefonica espanhola e daí espalhando-se para os terminais dos funcionários, obrigando a que os mesmos fossem encerrados.

Outras grandes empresas espanholas também foram afectadas - como Gas Natural e Iberdrola - sendo que também por cá se fazem sentir efeitos deste ataque, com a Vodafone e MEO a entrarem em estado de alerta máximo. Pelo que nos informaram, na MEO também já pediram aos funcionários para desligarem os computadores; sendo que na Vodafone Espanha há informação de que existe uma investigação em curso para determinar o que se passa.

Será mais um caso que poderá servir de lição para empresas mais pequenas (e para os particulares) de que nunca se pode estar 100% seguro e que o melhor a fazer, para além de tomar todas as medidas preventivas para se ser infectado, será estar preparado para a eventualidade de o ser. Nomeadamente, ter um sistema de backups que mantenha os dados protegidos e a salvo deste tipo de ataques, e recorrer a ferramentas como o RansomFree que detectam este tipo de ameaças.


Actualização: o vector de infecção parece estar relacionado com uma vulnerabilidade de execução remota via SMB no Windows. Será imperativo aplicar esta actualização de segurança.

Actualização 2: a Vodafone Portugal diz-nos que até ao momento não foi afectada e que continua a operar dentro da normalidade.

Actualização 3: também está a afectar hospitais em Inglaterra.

Actualização 4: também já chegou a estações de comboio na Alemanha e Rússia, bancos, e outra empresas...

Actualização 5: A Microsoft disponibilizou uma correcção também para os Windows mais antigos (Windows XP, etc.) que podem encontrar aqui.

Actualização 6: a propagação do ransomware foi suspensa temporariamente através do registo de um domínio.

Actualização 7: tudo apreensivo para o início de uma nova semana, temendo-se que muitas empresas ainda possam a vir a ser infectadas.

Actualização 8: foi lançada uma ferramenta que pode conseguir descodificar máquinas com Windows XP, desde que não tenham feito reboot.

Actualização 9: nova ferramenta melhorada já descodifica Windows 7, Vista, 2003, e outros.


10 comentários:

  1. "sendo que na Vodafone há informação de que existe uma investigação em custos para determinar o que se passa."
    em curso :)

    ResponderEliminar
  2. A suspeita actual é que foi resultado do uso de SMS/SCCM (basicamente os pc's do domínio não vão directamente ao windows update mas sim a um serviço empresarial) e basicamente atrasou o deploy de um patch do protocolo de partilha de ficheiros (smb ou samba)

    https://technet.microsoft.com/en-us/library/security/ms17-010.aspx?ranMID=24542&ranEAID=TnL5HPStwNw&ranSiteID=TnL5HPStwNw-jqPkZ38DE.BLsJrvHGGzTw&tduid=(ccc96880ae32b5f48b1f3b18a3486032)(256380)(2459594)(TnL5HPStwNw-jqPkZ38DE.BLsJrvHGGzTw)()

    ResponderEliminar
  3. Acho que era relevante ter no artigo o link para a prevenção:
    Microsoft Security Bulletin MS17-010 - Critical

    ResponderEliminar
  4. Entretanto ja chegou ao Santander e BBVA

    ResponderEliminar
  5. Este comentário foi removido pelo autor.

    ResponderEliminar
  6. Não sei se é confidencia ... mas não consigo fazer login no portal de clientes da MEO https://www.meo.pt/cliente

    ResponderEliminar
  7. hehehe

    Todos nós, utilizadores de linux estamos (para já) descansados a ver o espetáculo e a comer pipocas!! :D

    ResponderEliminar
  8. Já devem conhecer a história. O vírus atacou em 99 países. Diz o "The Guardian" que um inglês, de 22 anos, descodificou o vírus e viu que estava associado a um domínio não registado - que comprou por 10 dólares - e com isso evitou uma maior propagação.

    Ele avisa que:
    - Devem atualizar o Windows
    - E esperar pelo segundo ataque.
    http://www.dn.pt/sociedade/interior/heroi-acidental-alerta-para-a-possibilidade-de-outro-ataque-8474275.html

    ResponderEliminar