O Ministério da Saúde tem, desde ontem, em funcionamento um plano de contingência para evitar os efeitos de um ataque informático de larga escala. O plano está, para já, a impedir a interação de mails externos com o SPMS, os Serviços Partilhados do Ministério da Saúde.
A medida de precaução - tomada em conjunto com Espanha - pretende impedir a entrada de vírus informáticos no sistema, para evitar os graves efeitos que se estão a fazer sentir em grandes empresas e instituições públicas, nomeadamente hospitais, como é o caso do Reino Unido, onde o Serviço Nacional de Saúde sofreu um ataque em larga escala.
Esta noite, o ministério vai ter sob forte alerta o sistema de SMS, operado pela NOS, já que é esperado pelas autoridade um novo pique de ataque.
Medidas semelhantes estão a ser acionados nos grandes grupos privados de Saúde, nomeadamente na CUF e na Luz Saúde, apurou a SIC junto de fontes oficiais.
Comunicado:
Compete-me informar que têm-se registado a nível Internacional durante o dia de hoje ataques massivos de malware, em particular ransomware afetando vários sistemas.
Até ao momento, não foram registados ataques na RIS nem existe qualquer relato de tentativas junto do nosso operador.
Desde as primeiras horas da manha que estamos atentos e acionamos os mecanismos de monitorização para o efeito, bem como, medidas de contingência e proteção.
Contudo, o alerta é sério, pelo que sugerimos máxima atenção das vossas equipas e monitorização dos sistemas e redes.
Adicionalmente, estão também a chegar aos e-mails das várias entidades, e-mails falsos (com origem aparentemente fidedigna) com ficheiros executáveis que afetam de forma irreversível os servidores de e-mail e sistemas. Como medida de proteção neste caso devem desligados os servidores de e-mail (internos) até que a onda de ataque massivo se dissipe.
Neste ataque, é utilizado o Trojan denominado WannaCry que tira partido de uma vulnerabilidade conhecida em sistemas Microsoft e se propaga pela rede via protocolo SMB.
De forma a prevenir a potencial infeção com este ataque, devem levar a cabo as seguintes medidas:
- Garantir a atualização de todos os sistemas Windows com o patch MS17-010 de Março (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
- Atualização imediata dos sistemas de anti-vírus por forma a garantir que a deteção é efetuada com base no último update de assinaturas do anti-vírus
- Garantir a existência de Backups para o caso de ser necessária a reposição dos dados eventualmente afetados
- Garantir que o serviço SMB não se encontra exposto na Internet
Referências:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
As portas que neste momento estão sobre grande preocupação são:
UDP
NetBIOS Name - 137
NetBIOS Netlogon and Browsing - 138
TCP
NetBIOS Session - 139
RPC Endpoint Mapper - 135
SMB - 445
Estas portas devem ser alvo de bloqueio e atenção especial por parte das equipas.
Devem ainda alertar os utilizadores internos que devem ter atenção à receção de e-mails com anexos e em caso de duvida falarem com o departamento de informática.
Informamos ainda que a receção de e-mails será bloqueado superiormente como medida de proteção, bem como o acesso às contas de correio até existirem garantias de segurança.
