Demonstração: ransomware WannaCryptor bloqueado pelo modo de Proteção de Rede da ESET

Seguinte

A ESET protegeu seus clientes de um dos maiores surtos de malware nos últimos anos – a epidemia do ransomware WannaCryptor em maio de 2017. Esse código malicioso afetou diversos usuários ao redor do mundo, causando danos de mais de bilhões de dólares para empresas. Graças a nossa tecnologia de Proteção contra ataques à rede, os endpoints que estavam protegidos com a ESET, não foram afetados.

O dia 12 de maio de 2017 foi marcado por um dos ciberataques mais disruptivos da história da segurança da informação. Em minutos, milhares de organizações em mais de 150 países viram cerca de 200.000 endpoints serem criptografados e dados como inacessíveis por meio do ransomware conhecido como WannCryptor, também conhecido como WannaCry e WCrypt. Os processos corporativos se tornaram instáveis em diversos setores, causando danos estimados em até bilhões de dólares.

Os invasores por trás desse incidente utilizaram um exploit sofisticado, chamado de EternalBlue e alegaram que ele tenha sido roubado e vazado pela Agência de Segurança Nacional dos Estados Unidos (NSA) e publicado online por um grupo conhecido como Shadow Brokers.

Esse exploit fez uso de uma vulnerabilidade específica (CVE-2017-0144) no protocolo de implementação de Bloqueio de Mensagem do Servidor (SMB) da Microsoft, via porta 445. Vasculhar a internet por portas SMB fez com que o ransomware fosse executado e seu código exposto, tornando sistemas vulneráveis e consequentemente se espalhando pela rede.

A maioria dos sistemas afetados estavam utilizando a versão sem patch de atualização do Windows 7. No entanto, até mesmo sistemas que não continham o patch crítico implementado – lançado pela Mircrosoft em 14 de março, dois meses antes do ataque – podem ter sido protegidos por uma solução de segurança de qualidade e multicamada.

Com base em uma detecção de rede adicionada em 25 de abril de 2017, a camada de Proteção contra Ataques de Rede da ESET foi capaz de bloquear os ataques que utilizavam o EternalBlue, exploits que impulsionam cargas maliciosas em sistemas direcionados. Isso incluía a família de ransomware do WannaCryptor, assim como outras cargas maliciosas que poderiam tentar fazer uso do mesmo mecanismo.

A tecnologia de Proteção Contra Ataques à Rede criada pela ESET possibilitou a continuidade dos negócios de nossos clientes, sem nenhuma interrupção. Por outro lado, organizações que foram afetadas ao redor do mundo continuaram a reportar diversos problemas em seus sistemas durante dias após a invasão inicial.

O número expressivo de dispositivos invadidos pelo WannaCryptor mostra o quão crucial é a política de patches em relação à segurança das empresas. No entanto, isso pode consumir muito tempo de trabalho e ser de alto custo. Ao instalar alguma solução de segurança multicamada ESET, as organizações aumentam sua proteção até que atualizações cruciais possam ser devidamente testadas e implementadas. Tecnologia de proteção também pode assegurar endpoints que não podem ser atualizados, simplesmente substituídos assim como aqueles sistemas ocasionais em grandes redes, que são inevitavelmente perdidos quando patches são testados e estendidos para toda empresa.