Uma onda de ataques de ransomware atingiu hoje empresas e hospitais do mundo todo, principalmente da Europa. Dentre as principais instituições vitimadas estão 16 hospitais de atendimento público do Reino Unido, e as empresas de telefonia móvel Telefónica, da Espanha, e Portugal Telecom.
Hospitais
De acordo com o Guardian, os sistemas de TI de hospitais do National Health Service (NHS, serviço nacional de saúde, espécie de SUS da região) passaram a mostrar mensagens exigindo US$ 300 em bitcoin para devolução de seus dados. O valor, em tese, subiria com o tempo. O ataque parece ter acontecido simultaneamente em todos os hospitais afetados.
Por conta do ataque, pacientes precisaram ser transferidos para outras instituições, e diversas consultas, exames e operações precisaram ser cancelados. Os funcionários foram orientados a desligar todos os computadores e, em alguns casos, desconectar todos os cabos de rede, e aguardar futuras instruções. Todas as atividades não-urgentes foram adiadas. O NHS emitiu um comunicado sobre a situação, que pode ser lido abaixo:
Segundo dados preeliminares da investigação, o malware responsável pelo ataque é da variedade Wanna Decryptor. O NHS ainda não sabe dizer se os dados médicos dos pacientes foi comprometido, e disse que compartilharia mais informações sobre o caso conforme as tivesse.
Telecomunicações
A empresa espanhola de telecomunicações Telefónica (que opera no Brasil como Telefônica Vivo) também foi afetada pelo ataque. Em nota enviada pela empresa ao Olhar Digital, a empresa informou que “na manhã de hoje, foi detectado um incidente de segurança cibernética [na Telefónica Espanha] que afetou alguns computadores de colaboradores que estão na rede corporativa da empresa”. A empresa então ativou o protocolo de segurança para fazer os sistemas voltarem a funcionar.
No mesmo comunicado, a empresa informou que “a Telefônica Brasil não foi impactada pelo incidente de segurança mas, mesmo assim, está tomando medidas preventivas para garantir a normalidade de sua operação”. No entanto, funcionários da empresa relataram ao Olhar Digital que não estão conseguindo trabalhar por conta do ocorrido.
O jornal português Observador também relatou que a Portugal Telecom, uma das principais operadoras do país, foi vitimada pelo ataque. Os funcionários da empresa estão sem trabalhar, mas a empresa diz que os seus clientes não foram afetados pelo incidente.
Na Espanha, o ataque também afetou a empresa de energia Gas Natural e Iberdrola. O ataque colocou outras empresas de telecomunicações e bancos da Europa em estado de alerta. Segundo a BBC, o ataque pode estar ligado a um vazamento de falhas de segurança conhecidas (mas não divulgadas) pela NSA, que ocorreu em agosto do ano passado.
O banco espanhol Santander e a empresa de consultoria KPMG também foram vitimados pelo ataque, de acordo com o El País.
O malware
A Avast informou em comunicado à imprensa que o malware usado nos ataques é o WannaCrypt0r 2.0. Segundo o líder do laboratório de ameaças da empresa, Jakub Kroustek, “observamos um pico maciço de ataques do WannaCrypt0r 2.0, com mais de 36 mil detecções até agora”. Segundo ele, a maior parte dos ataques está direcionado a Rússia, Ucrânia e Taiwan. A infecção pelo malware pode acontecer quando o usuário abre um anexo de e-mail ou acessa um site que ativa o ataque por meio de um link malicioso.
Segundo a Avast, o ataque de hoje afetou 85% dos computadores da Telefónica na Espanha. Por lá, os funcionários teriam sido orientados a desligar seus computadores e voltar para casa. Embora o malware possa ser removido dos computadores, caso ele tenha afetado os dados dos funcionários e a empresa não tenha backup, o problema será ainda mais sério.