O ransomware foi identificado como WannaCry
De acordo com os especialistas de rastreamento e análise do worm e sua propagação, este poderia ser um dos piores ataques já registrados de seu tipo. O pesquisador de segurança que tweeta e bloga como MalwareTech disse ao The Intercept, "Eu nunca vi nada assim como este ransomware", e "o último worm deste grau que eu me lembro, foi o Conficker." Conficker foi um notório worn do Windows visto pela primeira vez em 2008; ele passou a infectar mais de nove milhões de computadores em quase 200 países. Como detalha o The Intercept:
O ataque de hoje do WannaCry parece usar uma invasão da NSA com o nome de código ETERNALBLUE, uma arma de software que permitiria que os hackers espiões da agência entrassem em qualquer um dos milhões de computadores Windows, explorando uma falha no modo como determinada versão do Windows implementava um protocolo de rede comumente usado para compartilhar arquivos e impressão. Mesmo que a Microsoft tenha corrigido a vulnerabilidade do ETERNALBLUE em uma atualização do software de março, a segurança fornecida dependia de usuários de computadores mantendo seus sistemas atualizados com as atualizações mais recentes. Claramente, como sempre foi o caso, muitas pessoas (inclusive os governos) não estão instalando atualizações. Antes, teria havido algum consolo em saber que apenas os inimigos da NSA teriam medo de ter o ETERNALBLUE usado contra eles - mas a partir do momento em que a agência perdeu o controle de sua própria utilização no último verão, não há tal garantia.
Hoje mostra exatamente o que está em jogo como os hackers do governo não podem manter suas armas virtuais trancadas.
Como o pesquisador de segurança Matthew Hickey, que rastreou as ferramentas vazadas da NSA no mês passado, colocou: "Estou realmente surpreso que um malware militar desta natureza não se espalhou mais cedo."
A Microsoft emitiu uma declaração, confirmando o status da vulnerabilidade:
Hoje, nossos engenheiros adicionaram detecção e proteção contra novos softwares maliciosos conhecidos como Ransom:Win32.WannaCrypt.
Em março, fornecemos uma atualização de segurança que fornece proteções adicionais contra esse ataque potencial.
Aqueles que estão executando o nosso software antivírus gratuito e têm atualizações do Windows habilitado, estão protegidos. Estamos trabalhando com os clientes para fornecer assistência adicional
A empresa de segurança Kaspersky Lab registrou mais de 45.000 ataques em 74 países nas últimas 10 horas. Setenta e quatro países ao redor do globo foram afetados, com o número de vítimas ainda crescente, de acordo com a Kaspersky Lab. De acordo com a Avast, mais de 57.000 ataques foram detectados em todo o mundo, disse a empresa, acrescentando que "rapidamente transformou-se em uma disseminação maciça".
De acordo com a Avast, o ransomware também tem como alvo a Rússia, Ucrânia e Taiwan. O vírus é aparentemente a versão atualizada do ransomware que apareceu pela primeira vez em fevereiro. Acredita-se que ele esteja afetando apenas computadores operados com Windows, ele muda os nomes de extensão de arquivo afetado para ".WNCRY." Em seguida, entrega notas de resgate para um usuário em um arquivo de texto, exigindo US$ 300 no valor de bitcoins a serem pagos para desbloquear os arquivos infectados dentro de um determinado período de tempo.
Enquanto o papel de parede da vítima é alterado, os usuários afetados também vêem um temporizador de contagem regressiva para lembrá-los do tempo limitado que têm para pagar o resgate. Se eles não pagarem, seus dados serão apagados, advertem os cibercriminosos. De acordo com o New York Times, citando especialistas em segurança, o ransomware explora uma "vulnerabilidade que foi descoberta e desenvolvida pela Agência Nacional de Segurança (NSA)". A ferramenta de hacking foi vazada por um grupo chamado The Shadow Brokers, segundo o relatório, acrescentando que ele tem distribuído as ferramentas de hacking da NSA roubadas online desde o ano passado.
Previsivelmente, Edward Snowden - que advertiu sobre tal eventualidade - disse no Twitter, "Uau: a decisão da @NSAGov de construir ferramentas de ataque que visam o software dos EUA agora ameaça a vida dos pacientes do hospital."
Em uma revelação chocante, o site FT relata que os hackers responsáveis pela onda de ataques cibernéticos que atingiu organizações em todo o mundo, usaram ferramentas roubadas da Agência de Segurança Nacional (NSA) dos EUA.
Uma ferramenta de hacking conhecida como EternalBlue "Azul Eterno", desenvolvida por espiões norte-americanos, foi armada pelos hackers para reforçar uma forma existente de ransomware conhecido como WannaCry, disseram três analistas sênior de segurança cibernética. Sua interceptação de eventos foi confirmada por oficiais de segurança ocidentais que ainda estão lutando para conter a propagação do ataque. A utilização do Azul Eterno da NSA permite que o malware se difunda através de protocolos de compartilhamento de arquivos configurados entre organizações, muitas das quais em todo o mundo.
Como Sam Coates resumiu...
Nós relatamos anteriormente sobre o fato inquietante que os hospitais em todo o Reino Unido ficaram incomunicáveis devido a um cyber-ataque maciço...
Os hospitais em todo o Reino Unido foram atingidos pelo que parece ser um grande, ataque cibernético em todo o país, resultando na perda de linhas telefônicas e computadores, com muitos hospitais ficando incomunicáveis e alguns desviando a todos, menos os pacientes de emergência, para outro lugar. Em alguns hospitais os pacientes estão sendo ditos para não irem ao A&E já que todas as operações não urgentes foram canceladas, relata a BBC.
O Serviço Nacional de Saúde (NHS) do Reino Unido disse: "Estamos cientes de que uma série de trusts relataram potenciais problemas à equipe CareCERT. Acreditamos que ele seja um ransomware." Ele acrescentou que os trusts e os hospitais em Londres, Blackburn, Nottingham, Cumbria e Hertfordshire foram afetados e estão relatando falhas de TI, em alguns casos, significando que não há maneira de operar telefones ou computadores.
No Lister Hospital em Stevenage, o telefone e o sistema de computador foram completamente desativados na tentativa de defender-se do ataque.
O NHS da Inglaterra diz que está ciente da questão e está investigando.
A primeira-ministra do Reino Unido, Theresa May, confirmou que o enorme ataque cibernético de hoje sobre o NHS é parte de um ataque internacional mais amplo e não há provas de que os dados dos pacientes tenham sido comprometidos.
A situação ficou significativamente pior, uma vez que a BBC relata que o ataque do ransomware tornou-se global.
Screenshot de um programa bem conhecido que bloqueia computadores e exige um pagamento em Bitcoin foram compartilhadas online por partes que alegam ter sido afetadas.
Ainda não está claro se os ataques estão todos conectados. Um pesquisador de segurança cibernética twittou que ele havia detectado 36.000 casos do ransomware, chamado WannaCry e variantes desse nome.
"Isso é enorme", disse ele.
Houve relatos de infecções no Reino Unido, EUA, China, Rússia, Espanha, Itália, Vietnã, Taiwan e outros.
A gigante das telecomunicações Telefônica disse em um comunicado que estava ciente de um "incidente de segurança cibernética", mas que os clientes e serviços não foram afetados.
A empresa de energia elétrica Iberdrola e a fornecedora de serviços públicos Gas Natural também sofreram com o surto.
Houve relatos de que os funcionários das empresas foram orientados a desligarem seus computadores.
Na Itália, um usuário compartilhou imagens que mostram um laboratório de computador da universidade com máquinas bloqueadas pelo mesmo programa.
As carteiras de bitcoin aparentemente associadas ao ransomware foram relatadas por já começarem a encher-se de dinheiro.
"Este é um grande ataque cibernético, impactando organizações em toda a Europa em uma escala que eu nunca vi antes", disse o arquiteto de segurança Kevin Beaumont.
De acordo com a empresa de segurança Check Point, a versão do ransomware que apareceu hoje é uma nova variante.
"Mesmo assim, está se espalhando rapidamente", disse Aatish Pattni, chefe de prevenção de ameaças do norte da Europa.
Vários especialistas que estão monitorando a situação ligaram os ataques a vulnerabilidades divulgadas por um grupo conhecido como The Shadow Brokers, que recentemente afirmou ter vazado ferramentas de hacking roubadas da NSA.
Leia mais:
Diretor da NSA se Reúne Secretamente em Israel para Planejar Ataques Cibernéticos
Rússia Afirma que a Inteligência Estrangeira Está se Preparando para Atacar o Setor Financeiro
- Zero Hedge: "Worst-Ever Recorded" Ransomware Attack Strikes Over 57,000 Users Worldwide, Using NSA-Leaked Tools
- CNN: Massive ransomware attack hits 99 countries
- FT: Hackers use tools stolen from NSA in worldwide cyber attack
- Zero Hedge: Hospitals Across England Go Dark After Massive "Cyber-Attack"; Hackers Demand Ransom
- BBC: NHS cyber-attack: GPs and hospitals hit by ransomware
- BBC: Massive ransomware infection hits computers in 99 countries
Nenhum comentário:
Postar um comentário