PT/MEO alvo de ataque de ransomware (actualizado)

A PT/MEO está a ser alvo de um ciberataque com ransomware, havendo suspeitas de que este use a mesma tecnologia ou vírus utilizado na ofensiva aos sistemas da Telefónica, em Espanha e noutros países, incluindo hospitais no Reino Unido. Apesar de várias tentativas não foi possível entrar logo em contacto com fonte oficial da PT, para confirmar se há equipamentos sequestrados ou que tipo de sistemas poderão ter sido afectados (Ver actualizações mais abaixo).

Mas o facto é que vários funcionários do operador foram obrigados a desligar os PC, à partida por política de segurança que envolve a activação de um plano de reacção ou contenção. A medida envolveu mesmo forçar o encerramento dos equipamentos e desconectá-los da rede, em áreas de back-office, sabe o Computerworld.

Numa notícia avançada pelo El País, este revelava que o valor do resgate, no ataque à Telefónica, rondava os 300 dólares por PC, em bitcoins.

Entretanto o Diário de Notícias, avançou que o banco Santander e a KPMG estão a ser atingidos por uma vaga de ransomware, possivelmente a mesma.

Segundo o diário, o vírus de propagação do ataque “afecta apenas os utilizadores que tenham sistema operativo da Microsoft”, aproveitando uma vulnerabilidade do protocolo SMB.

15:32 – A Check Point e a Watchguard confirmam que o ataque à Telefónica envolve ransomware, mas “a Telefónica não dá mais informação”, disse fonte próxima destas duas empresas de cibersegurança, em declarações para o Computerworld.

15:46 – “Nem a Vodafone Espanha, nem a Vodafone Portugal foram afectadas pelo ataque”, avança fonte oficial da Vodafone Portugal. Embora em Espanha tenham sido “implementadas medidas preventivas”, em Portugal “está tudo a decorrer com normalidade”, acrescenta.

16:10 – A KPMG Portugal não confirma ter sido atingida pelo ataque, mas diz que está monitorizar a situação, apesar não avançar se tomou medidas preventivas. “Está tudo tranquilo e a decorrer conforme o normal”, afirma fonte oficial.

16:22 – O Centro Criptológico Nacional de Espanha divulgou uma nota pouco depois das 13:40 no país, revelando o ransomware que terá atingido empresas no mercado espanhol. Trata-se de uma versão do WannaCry, que explora uma falha de segurança na  execução de comandos à distância através de protocolo SMB.

O comunicado refere os sistemas vulneráveis ao ataque e remete para recomendações da Microsoft.

Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016

16:53 ‒ Reacção da PT, não confirma ter máquinas afectadas e procura colocar ênfase na continuidade de negócio do operador.  Apesar disso, confirma que a organização está a tomar medidas de prevenção.

“Foi detectado um ataque informático a nível internacional, com impacto em vários países, nomeadamente Portugal, afetando diferentes empresas de vários setores. Na PT, todas as equipas técnicas estão a assumir as diligências necessárias para resolver a situação, tendo sido ativados todos os planos de segurança desenhados para o efeito, em colaboração com as autoridades competentes. A rede e os serviços de comunicações fixo, móvel, móvel, Internet e TV prestados pelo MEO não foram afetados.”

17:13 – “A Microsoft está neste momento a analisar a situação”, nomeadamente no que diz respeito a possíveis vulnerabilidades relacionadas com o protocolo SMB identificado pelo Centro Criptológico Nacional de Espanha. Espera-se que a casa mãe emita algum tipo de nota oficial nas próximas horas, disse ao Computerworld fonte oficial da empresa em Portugal. 

17:30 –  PJ avançou já durante a tarde com uma nota de imprensa em que diz estar a investigar o ataque, sobre o qual sabe que executa um script Java capaz de explorar uma vulnerabilidade do protocolo Samba que recorre ao protocolo Server Message Block (SMB) e está a afectar sobretudo máquinas com Windows 7. O ataque está a proliferar particularmente entre PME, avança.

17: 40 – A S21 acrescenta que o ransomware aumenta a quantia a ser paga à medida que o tempo passa e ficheiros com extensão .doc, .dot, .tiff, .java, .psd, .docx, .xls, .pps, .txt, ou .mpeg, entre outros.

18:30 – O “culpado desses ataques é a v2.0 do ransomware WCry, também conhecido como Wanna Cry ou WanaCrypt0r ransomware”, avança a Check Point em declarações oficiais ao Computerworld. A empresa explica que a primeira versão deste ransomware foi descoberto a 10 de Fevereiro e teve uma utilização limitada durante o mês de Março. A segunda versão (2.0) foi detectada pela primeira vez esta manhã e “espalhou-se rapidamente por todo o mundo”. Para além de Espanha, Reino Unido (pelo menos o Serviço Nacional de Saúde) e Portugal, a ameaça já foi identificada na Rússia, na Turquia, na Indonésia, no Vietname e no Japão, entre outros, detalha a Check Point.

A Check Point avança mesmo que esta “parece ser uma enorme campanha global”.  Aantish Pattni, chefe de prevenção de ameaças da Check Point para o norte da Europa explica que “a nova variante [deste ransomware] foi identificada esta sexta-feira, 11 de Maio”. O responsável explica que a ameaça se “está a espalhar rapidamente”. Aantish Pattni recomenda que as empresas se protejam quer através de sistemas de segurança, com múltiplas camadas, mas que também os funcionários têm de ser “sensibilizados para os riscos potenciais de e-mails recebidos de emissores desconhecidos ou de e-mails com de aparência suspeita, mesmo que provenientes de contactos conhecidos”.

18: 50 – Apesar de várias tentativas de obter informações sobre a forma como o ataque, que o Centro Nacional de CiberSegurança (CNCS) diz estar a atingir particularmente operadores de comunicação, afectou a Nos, esta não nos fez chegar quaisquer elementos de informação. Em declarações ao Computerworld, Pedro Veiga, coordenador do CNCS, assinala que a tolerância de ponto terá protegido a Administração Pública contra o ataque.

19:00 – O ransomware, chamado Wanna Decryptor, outra denominação para o Wanna Cry, funciona aproveitando uma vulnerabilidade do Windows que ganhou visibilidade  no mês passado quando um acervo de ferramentas de hacking alegadamente da National Security Agency (NSA) foi divulgado por um grupo de hackers denominado Shadow Brokers.

As ferramentas, que investigadores de segurança suspeitam terem vindo da NSA, incluem um instrumento cujo nome código é EternalBlue que torna fácil,  o sequestro de sistemas Windows. Actua especificamente sobre o protocolo Server Message Block (SMB), usado para partilha de ficheiros.

A Microsoft já corrigiu a vulnerabilidade, mas apenas para sistemas Windows mais recentes. Os antigos, como o Windows Server 2003, não têm suporte. Isso pode ter assinalado um potencial alvo de cibercrime. Quem desenvolveu o Wanna Decryptor parece ter adicionado as ferramentas de hacking da NSA suspeitas ao código do ransomware, disse Matthew Hickey, director da Hacker House. 

19:27 – Pedro Barbosa, líder de cibersegurança da Claranet Portugal, uma das empresas que avançou com avisos sobre o ransomware aos seus clientes, assinala que o ciberataque mundial foi detectado durante a madrugada de hoje, com os alvos iniciais a serem empresas de telecomunicações. Mais tarde  alastrou-se a outros sectores como os  a banca, energia, e outras infra estruturas criticas.

O principal vector de ataque usado baseou-se em emails com anexos que levam ao descarregamento de software malicioso, variante do Wanna Cry 2.0. “Este ransomware cifra as mais conhecidas extensões de documentos aplicacionais (não só da suite Office, mas também de programas de desenho, certificados de identificação e assinatura digital e outros de importância conhecida para os utilizadores)”, diz numa mensagem de email.

O especialista recomenda que as organizações garantam a instalação dos patches 017-10, 017-12 e 017-15 da Microsoft, nos seus sistemas.

19:47 – Inicialmente indisponível para comentar o tema, pois “estavam a decorrer investigações”, a Kaspersky Lab acabou por emitir informação detalhada sobre o ataque que se espalhou rapidamente por todo o mundo. “Os dados são criptografados com a extensão ‘.WCRY’ adicionada aos nomes de arquivo”, assinala a empresa de cibersegurança. O ataque do Wanna Cry “terá sido iniciado por uma execução remota de código SMBv2 no Microsoft Windows”. A vulnerabilidade em causa (EternalBlue) tinha sido corrigida pela Microsoft em 14 de Março. “Infelizmente, parece que muitas organizações ainda não instalaram o patch”.

A Kaspersky refere que já registou mais de 45 mil ataques do Wanna Cry em 74 países, especialmente na Rússia. No entanto assinala que a “nossa visibilidade pode ser limitada e incompleta e a gama de alvos e vítimas será provavelmente muito maior”.

23:30 – “A equipa de engenharia da Microsoft adicionou capacidade  de deteção e proteção complementar contra o novo software malicioso conhecido como Ransom:Win32.WannaCrypt”, durante o dia 11 de Maio, esclareceu a multinacional numa breve nota enviada ao Computerworld Portugal. A empresa recordou, tal como já tinham referido algumas das empresas de cibersegurança durante a tarde, que, já em Março, “disponibilizou uma atualização de segurança que oferece proteções adicionais contra este potencial ataque” e assinala que “os utilizadores que possuem o nosso software de antivírus gratuito e têm as atualizações do Microsoft Windows ativadas estão protegidos”.