Mais de 126.000 ataques de ransomware atingem a Telefônica e hospitais na Inglaterra

Jakub Křoustek 12 mai 2017

A Avast alerta sobre o ransomware WanaCrypt0r 2.0 que está infectando a Telefonica e os hospitais NHS na Inglaterra.

Atualização (11:58, segunda-feira, 15 de maio): agora o número de ataques registrados do WanaCrypt0r 2.0 já ultrapassa 213.000, em 112 países.

Atualização (5:22, segunda-feira, 15 de maio): de sexta-feira até agora já registramos mais de 126.000 tentativas de ataques do WanaCrypt0r 2.0, em 104 países.

Detectamos hoje (sexta-feira, 12 de maio de 2017), um grande pico de ataques do ransomware WanaCrypt0r 2.0 (também conhecido por WCry): mais de 57.000 detecções até o momento. De acordo com os nossos dados, o ransomware está atacando principalmente a Rússia, a Ucrânia e Taiwan, mas esse ransomware já infectou com sucesso importantes instituições, como hospitais em toda a Inglaterra e a empresa de telecomunicações Telefonica da Espanha.

Vimos a primeira versão do WanaCrypt0r em fevereiro e agora o ransomware já está disponível em 28 idiomas diferentes, desde o búlgaro até o vietnamita. Hoje, às 8 horas (CET), notamos um aumento na atividade desta linhagem, que rapidamente se transformou em uma disseminação maciça a partir das 10 horas (CET).

O ransomware altera os nomes das extensões dos arquivos afetados para ".WNCRY", renomeando-os, por exemplo, para: nome_original_do_arquivo.jpg.WNCRY. Os arquivos criptografados também são marcados com a sequência de caracteres "WANACRY!" no início.

Este ransomware publica as seguintes notas de resgate em um arquivo de texto:please_read_me_.txt_-_notepad_WanaCryt0r2.0.png

Além disso, o resgate que está sendo exigido é de cerca de 300 dólares (em bitcoins). Os cibercriminosos por trás do ransomware “Wana Decrypt0r 2.0” exibem uma mensagem de resgate com instruções sobre como pagar o resgate, uma explicação do que aconteceu e um temporizador de contagem regressiva:

Wana_decrypt0r_2.0.png

Além disso, o papel de parede do computador da vítima é alterado para a seguinte imagem:

_wanadecryptor__720.png

Este ataque prova, mais uma vez, que os ransomwares são uma arma poderosa que pode ser usada contra consumidores e empresas. Os ransomwares se tornam particularmente nocivos quando infectam instituições como hospitais, pois podem colocar em risco a vida dos pacientes.

O vetor de infecção: WanaCrypt0r 2.0

O WanaCrypt0r 2.0 provavelmente se espalha usando o Equation Group, amplamente suspeito de estar vinculado à agência de espionagem americana NSA. Um grupo de cibercriminosos chamado ShadowBrokers roubou as ferramentas de hacking do Equation Group e as tornou públicas. Como já foi confirmado pelo pesquisador de segurança, Kafeine, a falha, conhecida como ETERNALBLUE ou MS17-010, provavelmente foi usada pelos cibercriminosos por trás do WanaCrypt0r. Trata-se de uma falha do SMB (Server Message Block, um protocolo de compartilhamento de arquivos de rede do Windows).

O Avast detecta todas as versões conhecidas do WanaCrypt0r 2.0, mas recomendamos que todos os usuários do Windows atualizem completamente o seu sistema com todas as atualizações disponíveis. Continuaremos a monitorar este surto e atualizaremos esta postagem do nosso blog quando tivermos mais informações.

IOCs:

09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
4A468603FDCB7A2EB5770705898CF9EF37AADE532A7964642ECD705A74794B79B9C5D4339809E0AD9A00D4D3DD26FDF44A32819A54ABF846BB9B560D81391C25
d8a9879a99ac7b12e63e6bcae7f965fbf1b63d892a8649ab1d6b08ce711f7127
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85

--> -->