2017/05/14

Ransomware suspenso através do registo de um domínio


O impacto do recente mega-ataque de um ransomware que afectou grandes empresas foi minimizado parcialmente devido ao registo de um domínio que servia como "paragem de emergência" para a sua propagação.

Um jovem especialista em segurança informática impediu que a vaga de ransomware que estava a varrer o mundo fizesse ainda maior número de vítimas quando, ainda sem saber o efeito que teria, decidiu registar um domínio inexistente com o qual o ransomware tentava comunicar. Esta decisão acabou por se revelar de importância crítica, pois assim que o ransomware detecta que esse domínio (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) está registado activa um "kill-switch" que desactiva a sua propagação.

Este tipo de medidas não é incomum, sendo uma forma dos criadores de vírus e malware poderem ter controlo sobre as suas criações caso surja algo imprevisto e tenham que o parar. Também são conhecidos casos de malware que detecta o país da vítima e não a infecta se estiver numa lista de países pré-seleccionados (para não fazer estragos no seu próprio país).

Embora esta medida já não viesse a tempo de ajudar as empresas e utilizadores já infectados pelo ransomware, permitiu seguramente evitar a infecção de muitos mais milhares de pessoas - particularmente nos EUA e demais países que seriam afectados pela propagação dos sistemas infectados inicialmente na Europa.


De referir que este ataque só foi possível devido à existência de empresas a utilizar Windows não actualizados, sendo que a MS até optou por lançar publicamente uma correcção desta vulnerabilidade para Windows mais antigos que já não seriam suportados. Poderá ser uma forma de evitar que este incidente pudesse ser visto como uma forma da MS "incentivar" as empresas a dar o salto para o Windows 10... que certamente terá passado pela cabeça de alguns sysadmins que se mantêm em versões mais antigas.

Esta paragem causada pelo registo do domínio não irá durar para sempre, pois por esta altura já deverão circular variantes a usar outros domínios, ou até a abdicarem de qualquer kill-switch. Pelo que todas as recomendações de segurança já feitas continuam a aplicar-se.


Nota: parece que no caso do acesso ser via proxy, como na maioria das grandes empresas, este kill-switch não terá efeito.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]