WannaCry, também conhecido como WannaCrypt, se espalhou por todo o mundo através de um vetor de ataque esperto e uma habilidade de pular de máquina para máquina. Aqui está o que você precisa saber sobre essa ameaça de segurança.

Ransomware é a forma mais rápida de ciberataque. É fácil para os hackers implantarem, há inúmeras maneiras de se infectar, e força as vítimas a pagar os perpetuadores em Bitcoin, cartões de crédito pré-pagos, e outras formas não rastreáveis, de dinheiro eletrônico.

O Ransomware economiza os atacantes de todo o incômodo de roubar números de cartões de crédito e informações pessoais – por que fazer o trabalho duro quando você pode simplesmente criptografar arquivos e forçar as vítimas a pagá-lo pela chave de descriptografia?

De todos os recentes ataques de ransomware, o WannaCry (também conhecido como WannaCrypt) foi um dos mais devastadores. Isso afetou várias centenas de milhares de máquinas e bancos incapacitados, agências de aplicação da lei e outras infraestruturas.

Grande parte da ameaça da WannaCry foi resolvida, mas é apenas uma questão de tempo antes que – ou um código semelhante mal-intencionado ataque novamente.

O guia da pessoa inteligente sobre o WannaCry é uma introdução rápida a este novo ataque de malware, bem como um guia “vivo” que será atualizado periodicamente à medida que WannaCry evolua e maneiras de vencê-lo mudem.

Sumário executivo

O que é WannaCry? 

WannaCry é uma forma de ransomware que explora uma falha no protocolo do Windows Server Message Block (SMB). Uma vez que ele infecta um sistema, o WannaCry criptografa arquivos na máquina afetada e força o proprietário da máquina a pagar o atacante em Bitcoins pela chave de descriptografia.

Quem o WannaCry afeta? 

O WannaCry tem como alvo os sistemas Windows, particularmente aqueles que não possuem uma atualização de segurança de março de 2017. Ele tem afetado máquinas em todo o mundo, com especial sucesso na Rússia, China e Índia, bloqueando bancos, sistemas de trânsito público, hospitais e universidades. O vetor de ataque de WannaCry foi eliminado, mas aqueles com computadores Windows não atualizados ainda são vulneráveis.

Por que WannaCry importa? 

O WannaCry é apenas o mais recente em uma tendência escalada de ransomware, e afetou em grande parte os sistemas que não tinham realizado uma atualização de segurança crítica do Windows. O sucesso em grande escala destaca a necessidade de melhores práticas de segurança.

Quando WannaCry está acontecendo? 

O surto de WannaCry começou em 12 de maio de 2017 e, foi interrompido pela descoberta de um killswitch e dos esforços de pacotes de emergência da Microsoft. Embora possamos estar em um período de calmaria do WannaCry, seus métodos já foram encontrados em novas variedades de malware, o que significa que ele e coisas como isso continuarão a ser um problema.

Como evito tornar-me vítima de WannaCry? 

Certifique-se de que todos os seus sistemas estejam organizados e atualizados, e assegure-se de educar os usuários sobre as ameaças colocadas pelo Ransomware. Também é essencial treinar os usuários sobre as melhores práticas de segurança, bem como garantir o controle adequado de acesso e as políticas BYOD para prevenir propagação de infecção.

O que é WannaCry?

WannaCry é uma forma de ransomware, que é um subconjunto de malware que criptografa arquivos em computadores e exige pagamento pela chave de descriptografia. O que faz o WannaCry particularmente malicioso é como ele infecta as máquinas Windows: através de uma falha no protocolo SMB.

O SMB é projetado para lidar com a transmissão de pacotes entre máquinas em redes de área local (LANs). Uma falha em algumas versões do protocolo SMB do Windows permitiu que pacotes maliciosos transmitissem de uma máquina infectada em LANs, fazendo de uma única máquina comprometida o paciente zero para um surto maciço.

O próprio pacote transmitido contém o DoublePulsar, uma ferramenta de implante de backdoor construída pela NSA que expõe a máquina à instalação do código da WannaCry.

Uma vez que o WannaCry chega a um computador, ele começa a criptografar arquivos. Em seguida, faz sua demanda de resgate enquanto continua a procurar por outras máquinas vulneráveis em sua rede para que possa se espalhar.

Os usuários infectados são informados de que eles precisam pagar um resgate em Bitcoin, que muitas vezes aumenta após vários dias. A eventual ameaça de criptografia permanente também é alavancada, e muitas pessoas desistem e pagam o resgate para evitar a perda de dados importantes.

Quem WannaCry afeta?

O WannaCry apenas afeta os sistemas Windows, particularmente aqueles vulneráveis a EternalBlue, a vulnerabilidade SMB desenvolvida pela NSA. Foi capaz de se espalhar apesar de a Microsoft lançar uma atualização de segurança para a vulnerabilidade em março de 2017. Os pacotes de atualização do sistema ainda são sustentados pela Microsoft (Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016 e Windows Vista).

Apesar do fato de que o Windows XP não ter sido incluído no pacote original (desde então recebeu sua própria correção), ele representava menos de 2% do total de máquinas afetadas. 98% estavam executando máquinas do Windows 7 sem a atualização de segurança de março de 2017.

Como a WannaCry só precisa de uma máquina infectada em uma LAN para começar a espalhar, foi incrivelmente efetivo em travar grandes redes empresariais e governamentais. O Sistema Nacional de Saúde britânico foi uma grande vítima, assim como o Ministério dos Assuntos Internos da Rússia, Nissan, uma grande empresa ferroviária alemã, várias empresas de telecomunicações e universidades em todo o mundo.

O patch e os esforços dos pesquisadores de segurança resultaram no fechamento do vetor de ataque da WannaCry, mas novas versões que não possuem as vulnerabilidades que tornaram a versão inicial mais fácil de parar já foram encontradas.

Se você não instalou as atualizações necessárias ou eliminou máquinas que não suportam atualizações da sua rede, você ainda é vulnerável à versão original.

Por que WannaCry importa?

Os ataques de Ransomware estão se tornando cada vez mais comuns, e o WannaCry importa porque finalmente trouxe a atenção do público para a questão. De particular interesse é como funcionou o ataque: explorando um problema que já havia sido resolvido em um patch.

Acredita-se que as ferramentas que permitiram o desenvolvimento do WannaCry foram desenvolvidas pela NSA e foram divulgadas na Internet em 14 de abril de 2017. A Microsoft pode ou não estar ciente do comprometimento dessas ferramentas quando lançou um patch de segurança em 14 de março de 2017, que se aplicado teria eliminado a vulnerabilidade que causou muitas das infecções.

A rápida expansão de WannaCry ao longo de alguns dias revela um problema comum: muitas organizações são negligentes com as atualizações de segurança.

Quando WannaCry está acontecendo?

WannaCry foi detectado pela primeira vez em 12 de maio de 2017 e, até 15 de maio de 2017, a propagação havia sido largamente detida. A conscientização sobre a existência de patches de segurança ajudou, mas a interrupção real ocorreu apenas algumas horas depois do surto inicial quando um pesquisador de segurança descobriu acidentalmente um killswitch incorporado.

A carga útil da WannaCry verifica a presença de um domínio antes de executar o processo de criptografia, e quando o pesquisador, que atende pelo nome de MalwareTech, descobriu que o domínio estava disponível, ele o comprou. Quase imediatamente ele começou a registrar centenas de visitas por minuto, e quando as máquinas afetadas viram que o domínio estava respondendo, o WannaCry parou seu ataque.

A descoberta de Killswitch retardou a propagação de WannaCry, e corrigir a falha da SMB, minimizando ainda mais a sua propagação, mas está longe de estar morto. Já surgiram variantes que não possuem o killswitch, mas ainda dependem da falha SMB para serem eficazes.

É provável que ataques similares a WannaCry continue à medida que os cibercriminosos se adaptem a uma maior instalação de patches de falhas SMB – é apenas uma questão de encontrar um buraco. E sempre há um buraco.

Como evito tornar-me vítima de WannaCry?

Indivíduos e empresas que desejam evitar WannaCry e outras formas de ransomware precisam fazer várias coisas. Primeiro e, o mais importante, é prestar atenção aos boletins de segurança da Microsoft e imediatamente instalar patches relevantes. Certifique-se também de agendar atualizações regulares para PCs e servidores que você administra.

Também é importante eliminar as versões mais antigas dos sistemas operacionais, especificamente o Windows XP. Enquanto a Microsoft realizou etapas relativamente raras de corrigir o XP contra os ataques do WannaCry, ainda não está agendado para receber futuras atualizações de segurança.

O Windows XP pode ter sido apenas uma pequena porcentagem de máquinas afetadas por WannaCry, mas tudo o que é preciso é um futuro exploit que não esteja nos patches para transformar as máquinas XP em um exército de espalhadores de infecção. Se o Windows XP receber atualizações de segurança futuras, provavelmente será após o fato, como foi o caso do WannaCry.

Por último, é essencial treinar os usuários no comportamento de segurança adequado. Certifique-se de que todos saibam o que um anexo de email suspeito, tentativas de phishing e sites que aparentam ser questionáveis.

Só é preciso uma máquina infectada para espalhar WannaCry para todos os outros computadores vulneráveis em uma LAN. Os usuários não podem estar vigilantes se não sabem o que procurar e é melhor ter pessoas paranoicas que sinalizem e-mails de spam do que deixar o ransomware em sua rede.

Deixe um comentário
Shares: