Centenas de sistemas em Portugal continuam vulneráveis ao WannaCry

Apesar da forte exposição mediática da ameaça informática WannaCry e dos sucessivos avisos por parte de diversas empresas de segurança, ainda existem milhares de sistemas desprotegidos em todo o mundo. Só em Portugal, são mais de 1100 máquinas vulneráveis ligadas à Internet, em que 348 são servidores.

A quantidade de máquinas vulneráveis representa números muito superiores, diz a ESET, se for tido em conta que cada uma delas está ligada a uma rede interna onde existem diversos computadores que poderão ficar infetados na totalidade.

Em paralelo, destaca-se também um número inquantificável de sistemas vulneráveis offline que podem ser igualmente afetados por ataques de phishing ou spear-phishing (um tipo de phishing mais direcionado a uma pessoa ou departamento).

Ainda sujeito a análise detalhada, o WannaCry teve aparentemente como único objetivo encriptar documentos nos sistemas infetados em troco do pagamento de um resgate que variava entre 300 e 600 dólares, pagos em bitcoins.

Os vetores de entrada terão sido phishing, spear-phishing (um tipo de phishing mais direcionado a uma pessoa ou departamento) ou ataques diretos a sistemas com o protocolo SMB v1 (porta TCP/445) expostos à Internet.

Uma das caraterísticas diferenciadoras deste ataque de ransomware, recorda a ESET, terá sido o facto de ter propriedades de worm, ou seja, ser capaz de se propagar na rede local através do computador inicialmente atacado e desta forma infetar todos os computadores vizinhos com a mesma vulnerabilidade de SMB.

Dada a forte predominância de máquinas infetadas em Portugal, a ESET preparou um conjunto de boas práticas para as empresas, aqui resumidas:

Criar cópias de segurança do seu sistema em intervalos regulares e manter pelo menos um desses backups off-line, para proteger os dados mais recentes de um ataque. Recomendado o uso do software de backup pessoal Backblaze.
Assegurar que a opção “Unidades de rede” está selecionada no Sistema de Proteção de ficheiros em tempo real. Com a proteção das unidades de rede ativada, o motor de análise em tempo real vai ser capaz de detetar uma estação de trabalho infetada, impedindo o ransomware encripte esse computador.
Restringir as permissões do utilizador segundo o necessário.Existem muitos tipos de restrições, como a restrição de aceder aos dados de uma aplicação e até mesmo algumas que já vêm predefinidas no GPO (objetos das políticas de grupo).
Não desativar o Controlo de Conta do Utilizador (UAC).
Utilizar uma solução de autenticação de dois fatores.
Desativar a execução de macros no Microsoft Office através das Políticas de Grupo Office 2013/2016: dê atenção às configurações de segurança ao nível de macros VBA para o Office.
Manter o sistema operativo atualizado.
Desativar o RDP (Remote Desktop Protocol).