O gigante ataque ransomware WannaCry afetou um número infindável de instituições, estimando-se ter chegado a 100 países, causando milhões de prejuízo, e até a própria saúde dos cidadãos, como foi exemplo o ter afetado vários hospitais do sistema Serviço Nacional de Saúde do Reino Unido, impedindo pacientes de receber cuidados intensivos.
O ataque fez soar os alertas vermelhos de toda a comunidade de segurança. E neste campo, existiram empresas que reagiram de forma mais rápida que outras, e que se mantiveram na linha da frente na proteção às empresas. É o caso da Sonicwall. Os clientes SonicWall munidos com as soluções Gateway Anti-Virus, serviços de Intrusion Prevention e Capture Advanced Threat Protection, estão descansados e com as suas redes protegidas, não sendo afetadas com o worm que se vem espalhando desde 17 abril de 2017. A empresa está constantemente a atualizar os seus códigos, mantendo-se a par dos ataques, lançando rapidamente contra-medidas e medidas de combate adicionais sempre que necessário.
A SonicWall foi mesmo uma das primeiras a prever este ataque. O WannaCry é uma combinação de um trojan/ransomware e de um worm que utiliza uma falha num protocolo de partilha de arquivos SMB, chamado EternalBlue. Este exploit afeta várias versões do Microsoft Windows, incluindo várias versões que estão em fim de vida. Embora a Microsoft tenha lançado vários patches para corrigir esta vulnerabilidade a 14 de Março, esta manteve-se muito perigosa para muitas empresas. Os SonicWall Capture Labs analisaram o ataque EternalBlue de forma imediata em meados de Abril e lançaram de imediato proteção para os clientes da sua firewall, muito antes do primeiro ataque público. Todas as versões deste exploit poderiam ser bloqueadas nas redes protegidas com SonicWall.
Com base nesta proteção, os clientes SonicWall devem certificar-se que as suas firewals da próxima geração possuem uma subscrição ativa da solução Gateway Security para receber uma proteção automática e em tempo real de ataques ransomware, como o WannaCry. Esta solução inclui o Gateway Anti-virus (GAV), o Intrusion Prevention (IPS), o Botnet Filtering e o Application Control, que têm assinaturas contra o WannaCry (parte do GAV), proteções das vulnerabilidades descritas pela Microsoft no boletim MS17-010 (parte do IPS), e bloqueiam comunicação com os servidores C&C, de onde vêm os payloads do WannaCry (parte do Botnet Filtering). Dado a solução SonicWall Email Security usar as mesmas assinaturas/definições que o Gateway Security, a empresa consegue bloquear de forma eficaz os emails que originam a infeção.
Os ataques não deverão ficar por aqui, tendo já sido anunciadas variações do mesmo. A empresa está atenta a este ponto e já lançou várias atualizações. Para se certificarem que estão com as mais recentes soluções de proteção, as empresas devem, em primeiro lugar, aplicar o patch Windows fornecido pela Microsoft, e depois correr a Capture Advanced Threat Protection (Capture ATP), da SonicWall, para examinar ficheiros suspeitos que possam vir às suas redes, para assim descobrir e parar as mais recentes ameaças. Deve ativar o bloqueio do serviço até que tenham uma funcionalidade que ofereça um veredicto de forma a analisar todos os ficheiros que estão na gateway e eliminar o malware antes que este entre na rede. Os SonicWall Capture Labs vai continuar a enviar alertas aos clientes sobre novas ameaças.
O que nós dizemos
A Sonicwall tem estado efetivamente na linha da frente na proteção de ransomware. É bom ver o constante estado alerta que a equipa de especialistas da empresa tem, e a rapidez com que lançam contra-medidas para combater as ameaças. A empresa possui um pacote realmente completo e eficaz de proteção, que abrange todas as áreas empresariais, cobrindo as mais variadíssimas áreas. As empresas deverão ter em atenção o investimento nesta área. Se possível com um investimento completo. Caso não tenham orçamento para o fazer, devem olhar sobretudo para a proteção do email. É que 65% de todos os ataques ransomware são feitos através de emails de phishing, pelo que este ponto tem de ter prioridade absoluta nos investimentos de segurança empresariais.
|