O ciberataque que utilizou como recurso o vÃrus WannaCry ainda está bem presente na memória de todos. Só que se engana quem acha que a ameaça já foi finalizada. A verdade é que os sistemas informáticos que utilizamos continuam tendo vulnerabilidades e comportamentos negligentes por parte dos usuários não ajudam. Torna-se especialmente alarmante depois de circularem rumores sobre a possibilidade de um novo ciberataque de grande escala, que pode ou não utilizar uma variante do WannaCry. Para entender o que está em causa recorremos à ajuda da Integrity, empresa sediada em Lisboa de Consultadoria e Assessoria na área da Segurança da Informação e Gestão de IT. Abaixo pode ler as respostas à s grandes dúvidas sobre este caso, dadas pelo Managing Partner da Integrity, Rui Shantilal. Há ciberataques acontecendo em todo o momento. Por que este foi diferente? Este ataque foi diferente porque utilizou uma forma de propagação direta no interior das organizações. Numa rede informática de uma empresa, geralmente existe algo que denominamos de rede interna, que interliga de certa forma todos os utilizadores da organização na mesma rede, sem que tenham que recorrer à Internet para comunicarem entre si. Este ataque de ‘ransomware’ utilizou uma forma de propagação que tirando partido de uma vulnerabilidade conhecida da Microsoft, faz com que os computadores infectados da rede interna infectem outros computadores que se encontram na mesma rede ou em redes adjacentes. Acabou por ser um ataque diferente porque esta forma de propagação é muito mais eficaz do que uma infecção cirúrgica de postos de trabalho realizada através do exterior para o interior
Circula informação de que em junho vai acontecer um novo ciberataque com recurso ao WannaCry. Quão provável é que de fato isto aconteça?
É tão provável ser em junho como ser ainda em maio ou em qualquer outro mês.
De que forma é que o vÃrus WannaCry pode se alterar para continuar tendo a mesma eficácia?
A eficácia deste vÃrus neste momento é reduzida porque, por um lado as organizações conscientes do risco já devem ter tomado as medidas de mitigação necessárias, como a resolução da vulnerabilidade que o vÃrus em questão utiliza para se propagar, e por outro lado porque foi ativado o domÃnio ‘trigger’ de internet que o vÃrus verifica como condição para continuar a funcionar.
No futuro poderão haver novas variantes deste vÃrus que tirem partido de outras novas vulnerabilidades (conhecidas ou até desconhecidas) e as novas versões poderão passar a utilizar domÃnios aleatórios (ao invés de um fixo) ou até deixar de verificar esta condição para continuar a funcionar.