Ignorar os eventos do passado dia 12 de Maio seria, na realidade, um exercício muito difícil. E  como já lá vão 2 semanas – o que no mundo tecnológico é uma eternidade – e muita gente já limpou as lágrimas, irei então voltar ao tema da segurança informática, nomeadamente do ransomware, para o qual já tinha alertado em fevereiro deste ano – recordam-se?

No meu artigo Socorro, o meu hotel foi sequestrado!, utilizando um caso concreto, defini a ameaça, as medidas de prevenção e sobretudo o risco a que os negócios estão sujeitos quando a “(in)segurança informática” reina nas unidades hoteleiras – expressão ‘roubada’ ao meu caríssimo amigo João Pronto, que também já se debruçou sobre o tema.

Grande parte das empresas de segurança, e sobretudo as de antivírus, têm vindo a avisar para o aumento da predominância do ransomware nos últimos anos. Temos todos alertado que é um desastre à espera de acontecer, sendo que todos temos conhecimento de uns quantos que já aconteceram, mas não foram notícia.

Fonte: Symantec

Pois é. Então tentemos agora, com um pouco de calma, entender o que se passou e sobretudo perceber que o que me espanta é tanto espanto!

O QUE ACONTECEU

• Na sexta-feira, 12 de maio de 2017, várias organizações, a nível mundial, foram afetadas por uma nova estirpe de ransomware.
• O sucesso do ramsomware deveu-se sobretudo à utilização duma vulnerabilidade que permitia a sua disseminação nas redes.
• A vulnerabilidade utilizada, tinha já sido corrigida em março pela Microsoft para as versões do Windows.
• A vulnerabilidade explorada, conhecida por ETERNALBLUE, faz parte de do projeto Vault 7: CIA Hacking Tools Revealed, tornado público em março de 2017 pela WikiLeaks e que, ao longo das semanas seguintes, disponibilizou um conjunto de ferramentas utilizadas pela agência de segurança nacional dos Estados unidos da América (NSA).
• Foram, entretanto, detetadas novas variantes a alastrar na semana seguinte.

COMO FORAM INFETADOS E AS CONSEQUÊNCIAS

• E-mail: as ‘infeções’ tiveram origem em anexos que chegaram por e-mail e que os utilizadores abriram.
• SMB: as organizações afetadas possuíam sistemas vulneráveis (não atualizados), expondo assim a rede e facilitando o alastramento.
• Ficheiros com extensões específicas foram encriptados.
• Um pedido de resgate era apresentado no ecrã, no valor equivalente a $300 USD em Bitcoins, aumentando para $600 USD após 3 dias e alegando que ao final de 7 dias os ficheiros não poderiam ser mais recuperados.
• O ransomware instala uma “backdoor” que permite o acesso remoto e que poderá ser utilizada para comprometer o sistema mais tarde.

Em resumo, as consequências ao nível das três vertentes da segurança são:

Confidencialidade (Confidentiality) – Ao instalar a referida “backdoor”, o malware faz com que os dados dos sistemas fiquem sujeitos a acesso e roubo no futuro, apesar de o malware em si não ser responsável por este processo.

Integridade (Integrity) – Para além da encriptação dos dados, o malware não causa alterações aos mesmos; no entanto, a “backdoor” instalada pode novamente ser utilizada para causar dano adicional.

Disponibilidade (Availability) – As organizações perdem acesso aos ficheiros encriptados, sendo a recuperação a sua recuperação incerta, mesmo que pago o resgate.

RADIOGRAFIA DO SUCEDIDO

Pela figura abaixo e pela informação disponível on-line, rapidamente percebemos que espantados não deveríamos estar.

Fonte: Symantec

A dimensão e perfil do ataque, que amplificaram junto da comunicação social, é aquilo que já era uma realidade antes de 12 de maio. Neste caso, foram muitas e de dimensão muito variada as organizações afetadas - finança, seguradoras, telecoms, organismos públicos, saúde, hotéis (sim, hotéis), retalho, pequenas e médias empresas, ... Neste mundo sempre ligado, ninguém está livre.

Para ser justo, até o termo “ataque” me parece desapropriado uma vez que não existia um alvo determinado, nem uma relação óbvia entre as organizações afetadas. Talvez “ciberassalto” fosse a melhor denominação para o que aconteceu.

Na minha opinião, este foi o resultado de uma onda crescente de cibercrime, para o qual muitos especialistas já tinham alertado aquando da divulgação das ferramentas da NSA, que se alicerçou nestas mesmas ferramentas, e utilizando uma lista de distribuição com endereços de e-mail, disponível na internet (resultado de umas quantas quebras de segurança como a da Yahoo), disparou os e-mails com os respetivos anexos esperando que uns quantos incautos os abrissem para lucrar com isso.

Este comportamento, de crime organizado, assemelha-se muito mais ao “arrastão” do que a um ataque propriamente dito, e, portanto, na maior parte das vezes estamos a apanhar por tabela e não a ser um alvo específico. Pode, no entanto, indiciar também um ensaio para novas tentativas de maior magnitude. Importa atender que, neste, tal como noutros casos, existe um efeito de vagas, muitas vezes associado aos fusos horários e picos de hora de trabalho e que só porque o seu hotel não foi logo afetado não deve baixar a guarda pois numa segunda ou terceira vaga já pode ser.

A recuperação foi mais ou menos morosa, em função da maturidade em segurança de informação de cada organização, mas uma semana depois ainda havia quem não tivesse os seus sistemas e negócio a 100%. Importa por isso reforçar as ideias do artigo Socorro, o meu hotel foi sequestrado!: PREVENIR, DETETAR, REAGIR.

Porque não se trata duma responsabilidade exclusiva dos informáticos, trata-se duma política que estes aplicam debaixo da responsabilidade, autoridade e orçamento disponibilizado pelas administrações. E sem orçamento não existe segurança!

Por fim, e porque nisto de sequestros aos negócios na realidade o que falamos é de avaliação de risco, gostaria de deixar aqui uma outra linha de preocupação não tão digital: a fraude pode chegar ao seu hotel utilizando ferramentas legais. Existe neste momento em Espanha, uma preocupação, que pode mais tarde ou mais cedo aparecer por cá, com um sistema assente nas normas de proteção ao consumo em Inglaterra, que permite a uns quantos 'artistas' organizarem-se para conseguir férias sem pagar. Para isso basta utilizarem os mecanismos legais para reclamação e indeminização existentes, apresentado falsas reclamações e com isso conseguindo indeminizações. A ‘brincadeira’, durante 2016, em Espanha, foi calculada em 60 milhões de euros. Assim, se o seu ‘portunhol’ estiver à altura, aqui fica Assim se rebenta com um hotel espanhol. Leia, reflita, e tal como com qualquer risco que possa afetar o seu hotel, prepare-se.

‍