Em maio de 2017, um ataque global de grandes proporções do vírus ransomware WannaCry atingiu mais de 100.000 organizações em mais de 150 países deve acelerar a migração dos sistemas para a nuvem. No Brasil, a contagem inicial foi de 1.824 IPs brasileiros afetados. Durante as pesquisas sobre o malware, descobriu-se que havia um botnet, programas conectados à Internet que se comunicam entre si para executar tarefas, minerando criptomoedas agindo muito mais cedo, sem ninguém ter sido detectado. Como o WannaCry, esse ataque anterior desconhecido, usava uma invasão de codinome EternalBlue e um backdoor chamado DoublePulsar, os quais são ferramentas de hacking desenvolvidas pela NSA e vazadas em meados de abril por um grupo chamado Shadow Brokers. Este malware em vez de instalar um ransomware, instala um software de mineração de criptografia conhecido como Adylkuzz para efetuar remessas de cripmoedas, neste caso usando a moeda Monero que é anônima. As estatísticas iniciais sugerem que este ataque pode sido em maior escala do que o WannaCry. Este ataque desliga a rede SMB para prevenir novas infecções com outros malwares (incluindo o WannaCry) através da mesma vulnerabilidade, o que pode ter limitado a propagação do WannaCry.
O ataque deixa claro que organizações onde o “core business” não é tecnologia da informação estão mais vulneráveis a ataques e correm riscos de imensos prejuízos financeiros e de imagem corporativa. O WannaCry ataca apenas máquinas com sistema Windows desatualizado. A Microsoft acusa o governo americano, em especial a NSA, por ter desenvolvido o malware e deixá-lo em um ambiente não seguro. Ainda, acusa a NSA de não alertar a Microsoft da falha e, portanto, deixar o ambiente operacional de várias empresas vulnerável. Também, adverte as empresas para manter seus sistemas operacionais atualizados, embora isto não possa ser realizado antes de testes para avaliar a compatibilidade com os sistemas da empresa. Na minha opinião, este fato já é o suficiente para acelerar a migração para a nuvem.
Ransomware é um tipo de malware que restringe o acesso ao sistema infectado e cobra um valor de “resgate” para que o acesso possa ser reestabelecido. Os hackers solicitam os regastes em moedas virtuais, como o Bitcoin, para dificultar à rastreabilidade. O ataque de maio de 2017, paralisou seis hospitais do Reino Unido, impactando o atendimento a pacientes. Curiosamente, o episódio “Ctl Alt” da série Chicago Med (segunda temporada, episódio 19) aborda, exatamente, este caso. Um hacker desconhecido criptografa todos os arquivos do hospital e pede o resgate. O atônico responsável por TI não sabia o que fazer. O sistema só foi liberado depois que um médico, anonimamente e contra a ordem da administradora, pagou do próprio bolso o resgate de US$30 mil para o hospital voltar à normalidade. Neste episódio, o bandido levou a melhor.
Acredito que depois deste ataque, muitos CEOs irão destravar investimentos para projetos de migração de sistemas críticos para a nuvem. O ataque mostrou que é mais seguro, para muitas empresas, ter seus sistemas administrados por provedores de serviços de data centers. Obviamente, é necessário escolher bem o fornecedor. Elabore uma RFP (Request for Proposal) detalhada e um contrato que garanta a integridade de seus dados e sistemas. (veja o meu curso sobre Como Elaborar uma RFP).
Sugiro iniciar com o “co-location” dos servidores, transferindo para o provedor de data center a gestão dos servidores, principalmente as atualizações de software e artefatos de segurança. Imediatamente, migre os softwares dos desktops e notebooks para a nuvem, usando o Microsoft Office 365 ou o Google G Suite, mantendo todos os arquivos na nuvem. A próxima fase, mais longa, é a migração dos sistemas para a nuvem.
Caramba! Isso é caro! Com certeza, é mais barato do que paralisar o negócio por horas e pagar os resgates.