Microsoft tem atualização para travar propagação do vírus

A Microsoft já terá uma solução para impedir a propagação do programa malicioso que provocou o ataque informático internacional desta sexta-feira, apurou o ECO. As atualizações em causa dão-se pelo nome de “KB4012212” e “KB4012213” e podem ser descarregadas através do Windows Update, o serviço de atualizações da Microsoft, instalado em todos os computadores da marca, avançou ao ECO um especialista em segurança.

O ataque informático ocorreu a nível internacional e afetou múltiplas empresas, sobretudo nos setores das utilities e operadoras de telecomunicações — entre estas últimas estão gigantes como a Telefónica e a portuguesa PT, dona da Meo.

Trata-se de um ataque de ransomware que bloqueia os sistemas operativos da Microsoft e solicita o pagamento de um resgate, 300 dólares em bitcoin, para desbloquear. Por norma, as autoridades aconselham que não se pague o resgate, para impedir a disseminação desta atividade criminosa.

Especialistas de várias empresas tecnológicas, contactados pelo ECO, não quiseram ser identificados por ainda estarem a analisar a situação. A ideia generalizada é a de que se trata de um zero day, isto é, um ataque que explora uma vulnerabilidade nunca antes encontrada. Mas outro perito em segurança informática de uma grande empresa admitiu, em conversa com o ECO, que o ataque esteja relacionado com uma vulnerabilidade encontrada em março. O facto de um dos pacotes de atualização indicado surgir mencionado em março por alguns sites especializados no sistema Windows parece dar força a esta tese, mas ainda não há qualquer confirmação.

E a culpa? Pode ser da NSA…

Francisco Rente, da DogNaedis, uma unidade de cibersegurança da Prosegur, foi outro especialista que remeteu o ataque para uma vulnerabilidade já conhecida, ao invés de um zero day. Ao ECO, contou que o vírus, da estirpe WannaCry, surgiu de uma vulnerabilidade que veio a público no início do ano, numa das segundas fugas de informação da NSA, a agência de segurança nacional norte-americana. A vulnerabilidade é conhecida por Eternal Blue. A mesma informação foi veiculada pela Forbes.

Questionado sobre se acredita que os dados sequestrados possam ser desbloqueados, Francisco Rente disse que “quase de certeza que não“. O foco agora é mesmo o de impedir a propagação deste ataque que ainda não foi travado. A DogNaedis já detetou 40 endereços de IP ligados ao ataque e está a recomendar aos clientes que esses endereços sejam bloqueados nos respetivos programas de Firewall.

O ECO falou também com Vicente Díaz, principal security researcher do Great, o departamento de investigação da empresa de segurança informática Kaspersky Labs. Díaz confirmou a informação de que o vírus em causa se aproveita de um problema exposto numa brecha de segurança da NSA. “Já detetámos 45.000 ataques em 74 países”, avançou também, referindo que o que torna este ataque “interessante” é mesmo a “rapidez da propagação”. O que recomenda às vítimas? “Instalem a atualização de imediato”, disse. E reiterou que o resgate não deve ser pago.

Ainda não foi provado que o ataque que afetou a Telefónica e o que afetou a PT estejam relacionados. No entanto, outra fonte ligada a uma grande empresa de segurança indicou que tudo parece apontar nesse sentido. Face à incerteza, e ao facto de este ser um vírus de disseminação rápida, várias empresas estão a optar por, simplesmente, “desligar o cabo”, disse uma fonte.

Aprofundando um pouco mais este ataque, o vírus de ransomware está programado para se propagar rapidamente para toda a rede de computador assim que infeta uma primeira vítima. O ataque terá chegado por e-mail através de um anexo ou uma ligação para um site falso. Uma vez executado o código malicioso, o sistema fica interrompido de imediato.

A propagação, explicou um perito, é feita por um protocolo informático conhecido por SMB. Não é certo quanto, ou se alguma vez será lançado um programa que permita o desbloqueio dos dados sem o pagamento solicitado. Para já, o mesmo perito explicou que a contenção está a ser feita por via do bloqueio desse protocolo.

O facto de o pagamento ser exigido por bitcoin também não é inocente. A moeda virtual, além de ter atingido máximos e estar sob grande volatilidade, é conhecida por permitir transações anónimas. Ou seja, mesmo que o pagamento seja feito, as autoridades dificilmente são capazes de saber o destinatário dos fundos. Também não é garantido se o pagamento do resgate garante o desbloqueio dos dados.

(Notícia atualizada às 19h19 com declarações de Vicente Díaz)