Arbor Networks se pronuncia sobre o mega ciberataque do dia 12 de maio

O fato de a Microsoft haver emitido vários patches para versões Windows não mais suportadas ilustra a escala do problema. Atualizar seus sistemas com os patches do fabricante é o primeiro passo que toda organização deve tomar. Em seguida, devemos considerar que a segmentação de rede sempre é uma boa prática – principalmente no caso de situações como essa. A segmentação de rede limita a exposição do Microsoft SMB não apenas externamente, mas também em redes internas.

Inúmeras notícias falam em um pesquisador de malware que, inadvertidamente, encontrou um “botão de desligar”. Devemos ter em mente que isso também pode ter sido uma técnica de anti-reversão de malware utilizada pelo(s) autor(es) da (s) ameaça(s), para conter sua disseminação. Isso porque pesquisadores de segurança muitas vezes precisam do malware em atividade para descobrir o que ele busca. Independentemente da intenção do autor do malware ou da sorte de um pesquisador de segurança ao registrar determinado domínio, no momento da redação desta nota em 15 de maio, a recomendação seria NÃO BLOQUEAR esse domínio.

O “botão de desligar” (o domínio descoberto) no entanto não deve resultar em uma falsa sensação de segurança; é altamente provável que em breve seja lançada uma variante do malware, mais difícil de conter.

Esperamos ainda que os nós utilizados pelo WannaCry na rede Tor sejam investigados por profissionais de segurança, e também que sejam atacados por outros criminosos em busca de bitcoins.

O evento de sexta-feira destacou os problemas suscitados pela a compra de infraestrutura de TI como parte de um projeto ou função específica, sem o orçamento necessário ou capacidade para manter essa infraestrutura atualizada.

As informações sobre a disseminação do WannaCry por várias organizações, nos trazem à mente dois fatores: em primeiro lugar, as pessoas dentro de uma organização podem constituir o elo mais fraco da segurança, principalmente com a complexidade das campanhas de phishing de hoje. Assim, é essencial educá-las sobre as consequências nefastas de um arquivo anexo ou de um link suspeito. Em segundo lugar, a visibilidade da atividade interna da rede (quem fala com quem, quando e quantas vezes) permite identificar rapidamente uma ameaça, e – com a adequada segmentação de rede – bloquear sua disseminação.