Um aspeto relevante desta variante do ransomware é que tenta comprometer outros sistemas a partir das máquinas inicialmente comprometidas, usando vulnerabilidades dos segundos, executando também nestes o mesmo processo de inibição do acesso aos ficheiros.

Dos vectores de ataque utilizados, o principal baseou-se em emails com anexos que levam ao descarregamento de software malicioso. Trata-se da variante WCry 2.0 que terá sido disseminada de forma estratégica e massiva.

Este ransomware cifra as mais conhecidas extensões de documentos aplicacionais (não só da suite Office, mas também de programas de desenho, certificados de identificação e assinatura digital e outros de importância conhecida para os utilizadores).

Até ao momento são já vários os casos de países onde este malware tem comprometido computadores de forma sistemática e expressiva, estando Rússia, Ucrânia, Taiwan e Espanha entre os mais visados. Várias organizações em Portugal, à semelhança do que supostamente a Telefonica fez, deram instruções aos seus colaboradores para desligarem os seus computadores até novas indicações.

Pedro Barbosa, Head of Cybersecurity da Claranet e organizador da Globinnova Porto Cybersecurity Conference, comenta que este ciber ataque de larga dimensão foi detectado durante a madrugada de hoje e os alvos iniciais foram empresas de telecomunicações, tendo-se verificado depois o alastrar a outros sectores como a banca, energia, e outras infra estruturas criticas.

Do Reino Unido chegam, inclusive, notícias de que pacientes em hospitais tiveram de ser reencaminhados para outros hospitais dada a incapacidade de alguns executarem a sua atividade de forma normal…

No topo das recomendações para evitar estes problemas, estão algumas dicas:

• Realizar uma cópia de segurança dos dados para que seja possível restaurar os arquivos originais depois de um incidente de perda de dados.
• Utilizar uma solução de segurança que inclua tecnologias de detenção baseadas no comportamento. Estas tecnologias podem capturar malware, incluindo ransomware, vendo como funciona no sistema atacado e tornando possível detetar amostras novas e desconhecidas de ransomware.
• Visitar o site "No More Ransom", uma iniciativa conjunta com o objetivo de ajudar as vítimas de ransomware a recuperar os seus dados encriptados sem ter que pagar aos criminosos.
• Fazer uma auditoria do software instalado, não apenas aos endpoints, como também a todos os nós e servidores da rede e mantê-lo atualizado.
• Realizar uma avaliação de segurança da rede de controlo (ou seja, uma auditoria de segurança, provas de penetração, análises de brechas) para identificar e eliminar as lagunas na segurança.
• Rever as políticas de segurança de fornecedores externos e de terceiros no caso de terem acesso direto à rede de controlo.
• Solicitar inteligência externa: a inteligência de fornecedores acreditados ajuda as organizações a prever futuros ataques à companhia.
• Capacitar os colaboradores, prestando especial atenção ao pessoal de operações e de engenharia para que estejam conscientes das recentes ameaças e ataques.
• Proporcionar proteção dentro e fora do perímetro. Uma estratégia de segurança adequada tem que dedicar recursos significativos à detenção de ataques e à resposta com o objetivo de bloquear um ataque antes de atingir alvos críticos.

É ainda recomendado que as organizações garantam que os patches 017-10, 017-12 e 017-15 da Microsoft estão instalados nos seus sistemas, e aos colaboradores para terem um especial cuidado na abertura de anexos ou cliques em ligações nos seus e-mails.