Tempo estimado de leitura: 12 minuto(s)

À luz dos incidentes da última sexta-feira, 12 de maio de 2017, achei interessante retomarmos o assunto dos ataques cibernéticos nesta coluna.

A mídia de todo mundo, (1), (2) (3), (4), (5) e (6) reportou que neste dia foram registrados entre 45 mil a 200 mil ataques em mais de 100  a 145 países, afetando grandes empresas como Telefônica de Espanha (Vivo no Brasil), Renault, FedEx e o Serviço Nacional de Saúde Britânico (NHS “National Health Service”) (5). No Brasil também houve casos como no Tribunal de Justiça e Ministério Público de SP (7).

O malware utilizado foi o WannaCry também conhecido como WannaCrypt0r 2.0. Este tipo de malware é conhecido como Ransomware (ransom em inglês quer dizer resgate) (8), que criptografa os dados da máquina infectada, tornando os dados inacessíveis, e solicitando um resgate em dinheiro, normalmente bitcoins por ser impossível de rastrear. Apenas após o pagamento do resgaste os dados são de-criptografados, voltando a sua situação original.  A criptografia utilizada é das mais fortes utilizando-se de algoritmos potentes (RSA de 2048 bits (9)). A transmissão deste malware é feita em geral via e-mail ou por algum tipo de comunicação muito bem-feita para atrair suas vítimas. Ao abrir anexos ou clicar em um link o malware é instalado. Uma vez dentro da máquina ele começa buscando pelas vulnerabilidades do ambiente para começar a se propagar.

Este tipo de malware tem feito muitas vítimas ao redor do mundo, como por exemplo um hospital de Los Angeles, o Hollywood Presbyterian Medical Center, que pagou um resgate equivalente a dezessete mil dólares (US$ 17.000,00) (10). Outro exemplo no Brasil, dentro do universo de cartórios, é o caso do Cartório de Registro de Imóveis de Espera Feliz que pagou o equivalente a R$ 12.500,00 (11).

Nesta sexta-feira o resgaste por máquina era da ordem de US$ 300,00 e deveria ser pago em até 3 dias. Decorridos os 3 dias o preço do resgate dobrava passando a ser US$ 600,00 e após 7 dias os arquivos estariam perdidos para sempre.

O malware desta sexta-feira se propagou devido a uma fragilidade no sistema operacional Windows. A Microsoft já havia relatado o problema e a correção foi publicada em 14 de março de 2017 (12), 2 meses antes do ataque. Posteriormente durante o ataque em 12 de maio a Microsoft se manifestou novamente publicando um guia para proteção contra o WannaCry (13).

Este episódio está cercado de mistérios e tem início com um grupo chamado Shadow Brokers (Corretores das Sombras) que afirma ter roubado da Agencia Americana de Segurança (NSA – National Security Agency) (14) no ano passado em agosto (15), (16) um conjunto de “armas cibernéticas”. Estas “armas” supostamente contém falhas e brechas de sistemas  detectadas pelos especialistas da  NSA. Durante o ano passado este grupo tentou leiloar os pretensos itens roubados do NSA e a mídia especializada afirma que se trata de mais de 1 gigabytes de informações que exploram brechas e fraquezas de sistemas. O malware desta sexta-feira aparentemente tem origem neste grupo, e foi colocado no ar no dia 14 de abril de 2017 e busca explorar vulnerabilidades em sistemas e produtos da Microsoft.  Como dito anteriormente, a correção da Microsoft foi ao ar no dia 14 de Março (12) de 2017, 1 mês antes do malware ser lançado e alguns analistas sugerem que existe a possibilidade da NSA ter notificado a Microsoft sobre esta vulnerabilidade (17).

Como proteger o cartório deste tipo de ataque cibernético?

Os cartórios estão tão vulneráveis quanto qualquer outra organização. Aqui na SiplanControl-M já atendemos diversos cartórios que sofreram esse tipo de ataque e que tiveram sérios prejuízos com a perda de dados e com a interrupção do atendimento ao público. A recomendação é a de sempre: prevenir é bem melhor do que remediar.

Mas o que fazer para proteger seu cartório desses ataques? Não existe uma resposta simples, nem receita pronta, pois cada cartório possui suas particularidades de ambiente tecnológico. Mas podemos usar de uma analogia de nosso dia a dia: uma corrente, seja ela de metal, plástico, ouro, normalmente arrebenta aonde? Sempre no elo mais frágil, certo? Os sistemas de tecnologia da informação e comunicação (TIC) não são diferentes do exemplo acima. Eles são um conjunto de peças (conexões com a internet, firewalls, roteadores, switches, servidores, estações de trabalho, sistemas operacionais, aplicativos, etc.) encadeadas como em uma corrente, ou seja, um encadeamento de elos de tecnologia. Consequentemente, irá quebrar no seu elo mais fraco e, portanto, é necessário estar atento a todos os aspectos desta intrincada cadeia. Um especialista em segurança é um profissional que pode mapear estas fragilidades.

Como citado acima, é impossível dar uma receita, mas o básico seria:

• Investir em equipamentos de proteção com firewalls de última geração;

• Manter servidores físicos e estações com versões de sistemas operacionais suportadas pelos seus respectivos fabricantes. Por exemplo: há cartórios ainda com Windows XP tanto em estações de trabalho como em servidores e este sistema deixou de ser suportado pela Microsoft desde 08 de abril de 2014, ou seja, há 3 anos atrás;

• Manter aplicativos e servidores de software (p.e. banco de dados) atualizados;

• Fazer backup interno;

• Fazer backup externo em Data Center seguro;

• Fazer avaliações de segurança periódicas;

• Educar os funcionários sobre segurança em meio eletrônico (possivelmente o elo mais frágil desta cadeia).

Enfim, o único jeito de combater este tipo de ameaça é com o uso de inteligência para detectar os elos frágeis dentro do cartório. O recomendado é contratar especialistas que possam dar diagnósticos e recomendações sobre o que fazer para elevar o nível de proteção a um patamar realmente seguro.

A SiplanControl-M tem ajudado muitos cartórios no diagnóstico e prevenção contra esses ataques oferecendo as melhores soluções para proteção contra esse e outros tipos de ameaças digitais. Entre em contato comigo pelo e-mail carlos.hulot@spcm.com.br e lhe darei mais informações.

Bibliografia

1. Jethro Mullen, Selena Larson e Samuel Burke. Cyber Safe – World reels from massive cyberattack that hit nearly 100 countries. CNN Tech. [Online] 13 Maio 2017. [Cited: 13 Maio 2017.] http://money.cnn.com/2017/05/13/technology/ransomware-attack-nsa-microsoft.

2. Solon, Julia Carrie Wong e Olivia. CyberCrime – Massive ransomware cyber-attack hits nearly 100 countries around the world. The Guardian. [Online] 12 Maio 2017. [Cited: 13 Maio 2017.] 
https://www.theguardian.com/technology/2017/may/12/global-cyber-attack-ransomware-nsa-uk-nhs.

3. Oliveira, Joana. Notícias – Ciberataque se espalha em escala global e instituições no Brasil se previnem. MSN. [Online] 13 Maio 2017. [Cited: 13 Maio 2017.]
http://www.msn.com/pt-br/noticias/ciencia-e-tecnologia/ciberataque-se-espalha-em-escala-global-e-institui%c3%a7%c3%b5es-no-brasil-se-previnem/ar-BBB4zXT?li=AAggXC1&ocid=iehp.

4. Cebrián, B. D. CiberAtaques – Cibertaque: o vírus WannaCry e a ameaça de uma nova onda de infecções. El País. [Online] 14 Maio 2017. [Cited: 14 Maio 2017.] http://brasil.elpais.com/brasil/2017/05/14/internacional/1494758068_707857.html.

5. NHS Cyber Attack. NHS. [Online] 12 Maio 2017. [Cited: 14 Maio 2017.] http://www.nhs.uk/alerts/Pages/reported-NHS-cyber-attack.aspx.

6. Graham, Chris. News – NHS cyber attack: Everything you need to know about ‘biggest ransomware’ offensive in history. The Telegraph. [Online] 13 Maio 2017. [Cited: 14 Maio 2017.] http://www.telegraph.co.uk/news/2017/05/13/nhs-cyber-attack-everything-need-know-biggest-ransomware-offensive.

7. Digital, Redação Olhar. Segurança – Sistemas do Tribunal de Justiça e Ministério Público de SP saem do ar. Ohar Digital. [Online] 12 Maio 2017. [Cited: 14 Maio 2017.] https://olhardigital.uol.com.br/fique_seguro/noticia/sites-e-sistemas-do-tribunal-de-justica-e-ministerio-publico-de-sp-saem-do-ar/68249.

8. Booker, Logan. WannaCry Ransomware Explained By An Aussie Security Expert. LifeHacker. [Online] 14 Maio 2017. [Cited: 14 Maio 2017.] https://www.lifehacker.com.au/2017/05/wannacry-ransomware-explained-by-an-aussie-security-expert.

9. Wikipedia. SA. Wikipedia. [Online] [Cited: 14 Maio 2017.] https://pt.wikipedia.org/wiki/RSA.

10. Yadron, Danny. Hacking – Los Angeles hospital paid $17,000 in bitcoin to ransomware hackers. The Guardian. [Online] 18 Fevereiro 2016. [Cited: 14 Maio 2017.] https://www.theguardian.com/technology/2016/feb/17/los-angeles-hospital-hacked-ransom-bitcoin-hollywood-presbyterian-medical-center.

11. Redação do Portal Espera Feliz. Cartório de Espera Feliz tem dados do computador sequestrados. Portal Espera Feliz. [Online] 27 Maio 2016. [Cited: 14 Maio 2017.] http://www.portalesperafeliz.com.br/noticias/cartorio-de-espera-feliz-tem-dados-do-computador-sequestrados.

12. Microsoft. Security TechCenter. Microsoft TechNet. [Online] 14 Março 2017. [Cited: 14 Maio 2017.]
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx?f=255&MSPPError=-2147217396.

13. MSRC Team. Technet – Customer Guidance for WannaCrypt attacks. Microsoft. [Online] 12 Maio 2017. [Cited: 14 Maio 2017.] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks.

14. Agency, National Security. Home – National Security Agency. National Security Agency. [Online] 14 Maio 2017. [Cited: Maio 13 2017.] https://www.nsa.gov.

15. Solon, Olivia. Hacking – Hacking group auctions ‘cyber weapons’ stolen from NSA. The Guardian. [Online] 16 Agosto 2016. [Cited: 14 Maio 2017.] https://www.theguardian.com/technology/2016/aug/16/shadow-brokers-hack-auction-nsa-malware-equation-group.

16. Burgess, Matt. Hacking – Hacking the hackers: everything you need to know about Shadow Brokers’ attack on the NSA. Wired. [Online] 18 Abril 2017. [Cited: 14 Maio 2017.] 
https://www.wired.co.uk/article/nsa-hacking-tools-stolen-hackers.

17. Goodin, Dan. Risk Assessment – Mysterious Microsoft patch killed 0-days released by NSA-leaking Shadow Brokers. ARS Technica. [Online] 15 Abril 2017. [Cited: 14 Maio 2017.] https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch.

Autor: Carlos Hulot
É graduado em Física pela Universidade de São Paulo e possui título de Ph.D. em Ciência da Computação e Eletrônica pela Universidade de Southampton no Reino Unido. Ele atua na indústria de tecnologia há quase 30 anos, tendo passagens por empresas como Royal Philips Eletrocnics, PricewaterhouseCoopers, Itaú e Microsoft, além de ter participado de várias startups. A sua experiência profissional é bem diversificada, incluindo atuações em desenvolvimento de sistemas de software, gestão de projetos, gestão de produtos e marketing. É Diretor de Sistemas e Produtos da SiplanControl-M – empresa especializada em soluções tecnológicas para cartórios. carlos.hulot@spcm.com.br