O ciberataque que utilizou como recurso o vírus WannaCry ainda está bem presente na memória de todos mas desengane-se se acha que a ameaça já foi mitigada. A verdade é que os sistemas informáticos que utilizamos continuam a ter vulnerabilidades e comportamentos negligentes por parte dos utilizadores não ajudam.

Torna-se especialmente alarmante depois de circularem rumores sobre a possibilidade de um novo ciberataque de grande escala, que pode ou não utilizar uma variante do WannaCry.

Para perceber o que está em causa recorremos à ajuda da Integrity, empresa de Consultadoria e Assessoria na área da Segurança da Informação e Gestão de IT. Abaixo pode ler as respostas às grandes dúvidas sobre este caso, dadas pelo Managing Partner da Integrity, Rui Shantilal.

Há ciberataques a acontecer a todo o momento. Porque é que este foi diferente?

Este ataque foi diferente porque utilizou uma forma de propagação directa no interior das organizações. Numa rede informática de uma empresa, geralmente existe algo que denominamos de rede interna, que interliga de certa forma todos os utilizadores da organização na mesma rede, sem que tenham que recorrer à Internet para comunicarem entre si.

Este ataque de ‘ransomware’ utilizou uma forma de propagação que tirando partido de uma vulnerabilidade conhecida da Microsoft, faz com que os computadores infetados da rede interna infetem outros computadores que se encontram na mesma rede ou em redes adjacentes.

Acabou por ser um ataque diferente porque esta forma de propagação acaba por ser muito mais eficaz do que uma infeção cirúrgica de postos de trabalho realizada através do exterior para o interior das organizações.

Circula informação de que em junho terá lugar um novo ciberataque com recurso ao WannaCry. Quão provável é que de facto isto aconteça?

É tão provável ser em junho como ser ainda em maio ou em qualquer outro mês.

De que forma é que o vírus WannaCry se pode alterar para continuar a ter a mesma eficácia?

A eficácia deste vírus neste momento é reduzida porque, por um lado as organizações conscientes do risco já devem ter tomado as medidas de mitigação necessárias, nomeadamente ao nível de resolução da vulnerabilidade que o vírus em questão utiliza para se propagar, e por outro lado porque foi ativado o domínio ‘trigger’ de internet que o vírus verifica como condição para continuar a funcionar.

No futuro poderão haver novas variantes deste vírus que acabem por tirar partido de outras novas vulnerabilidades (conhecidas ou até desconhecidas) e as novas versões poderão passar a utilizar domínios aleatórios (ao invés de um fixo) ou até deixar de verificar esta condição para continuar a funcionar.

Depois do cibertaque considerou-se que a sua eficácia estava relacionada com vulnerabilidades criadas pelos próprios responsáveis dos sistemas informáticos. Além de atualizações e cuidados acrescidos na forma como lidamos com a internet, o que é que pode fazer-se para evitar situações semelhantes?

A sua eficácia esteve diretamente relacionada com a falta de resolução atempada da vulnerabilidade que já era conhecida, e não por vulnerabilidades criadas pelos responsáveis dos sistemas informáticos.

O Tópico da Gestão da Segurança da Informação é complexo e com um conjunto vasto de ‘disciplinas’ que as organizações devem gerir. O Alinhamento ou adoção de melhores práticas de Gestão de Segurança (como por exemplo o Standard Internacional ISO 27001) acaba muitas vezes por ser um bom ponto de partida por serem abordagens estruturadas e holísticas a todos os temas relevantes, entre os quais as atualizações encontram-se naturalmente contempladas.

São também temas relevantes a consciencialização dos utilizadores, a segurança das aplicações, as auditorias, testes de Intrusão, controlos de acessos, políticas de backups. gestão de dispositivos móveis, entre outros...

Do ponto de vista dos particulares, além das atualizações, os utilizadores devem estar atentos para não correrem aplicações não confiáveis, deterem backups da sua informação, estarem dotados de mecanismos que permitam identificar / ajudá-los a bloquear estes ataques (ex: Antí-Virus), e acima de tudo procurarem informar-se dos riscos e estarem despertos para esta realidade.

Ouve-se cada vez mais falar de vírus 'ransomware'. Há alguma coisa que explique este aumento? Prevê-se que esta tendência continue? Por que razão é tão popular/eficaz?

Com a crescente utilização das tecnologias da informação é normal que também resultem novos riscos em crescendo que os utilizadores devem conhecer e gerir. Os ataques ‘ransomware’ são a concretização de um desses tipos de ataque, neste caso um ataque de extorsão no qual se priva os utilizadores de acederem à sua própria informação em troca de um resgate.

O seu aumento tem muito a ver com o aumento da exposição às tecnologias da informação no geral que proporciona que criminosos possam disseminar as suas, cada vez mais criativas práticas mundo fora sem necessidade de exposição direta com as vítimas e é por este motivo que estes ataques são populares.

É previsível que a tendência destes ataques continue até ao momento em que o retorno já não seja compensatório para os atacantes, momento no qual certamente irão veicular o seu ‘investimento’ noutros tipos de ataques.