Pesquisa de site

O que é o Ataque do WannaCry Ransomware?

O WannaCry é um ataque cibernético de cryptoworm ransomware que tem como alvo computadores que executam o sistema operacional Microsoft Windows. Foi lançado inicialmente em 12 de maio de 2017. O ransomware criptografou dados e exigiu resgate de US$300 a US$600, pago na criptomoeda Bitcoin. WannaCry também é conhecido como WannaCrypt, WCry, Wana Decrypt0r 2.0, WanaCrypt0r 2.0 e Wanna Decryptor.

Uma vez instalado, o WannaCry instalou um backdoor nos sistemas infectados.

O WannaCry explorou uma vulnerabilidade conhecida em sistemas Windows mais antigos chamada EternalBlue, que foi encontrada pela Agência de Segurança Nacional dos Estados Unidos (NSA).

EternalBlue foi roubado e vazado por um grupo chamado The Shadow Brokers alguns meses antes do ataque. Embora o EternalBlue tenha sido corrigido rapidamente, grande parte do sucesso do WannaCry se deveu ao fato de as organizações não corrigirem ou usarem sistemas Windows mais antigos.

A aplicação rápida de patches e a descoberta de domínios kill switch impediram que os computadores infectados espalhassem o WannaCry. Dito isso, as estimativas da Europol estimam o número de computadores infectados em mais de 200.000 em 150 países, com danos que variam de centenas de milhões a bilhões de dólares.

Especialistas em segurança, Estados Unidos, Reino Unido, Canadá, Japão, Nova Zelândia e Austrália afirmaram formalmente que a Coreia do Norte estava por trás do ataque.

Em agosto de 2018, uma nova variante do WannaCry forçou a Taiwan Semiconductor, uma empresa de fabricação de chips, a fechar várias de suas fábricas quando o vírus se espalhou para 10.000 máquinas em suas instalações mais avançadas.

Como o WannaCry se espalhou?

A disseminação do WannaCry foi possibilitada pelo EternalBlue, um exploit de dia zero em versões legadas de computadores Windows que usavam uma versão desatualizada do protocolo Server Message Block (SMB).

O WannaCry é um worm de rede com um mecanismo de transporte projetado para se espalhar automaticamente. O código de transporte verifica se há sistemas vulneráveis ao exploit EternalBlue e, em seguida, instala o DoublePulsar e executa uma cópia de si mesmo.

Isso significa que o WannaCry pode se espalhar automaticamente sem a participação da vítima. Contraste gritante com outros ataques de ransomware que se espalham por meio de ataques de phishing e engenharia social.

O WannaCry também pode tirar proveito das infecções existentes do DoublePulsar em vez de instalá-lo por conta própria. DoublePulsar é uma ferramenta de backdoor lançada pela The Shadow Brokers em 14 de abril de 2017. Em 21 de abril de 2017, pesquisadores de segurança relataram que dezenas de milhares de computadores tinham o DoublePulsar instalado. Em 25 de abril de 2017, as estimativas estimavam o número de computadores infectados em centenas de milhares.

Como funciona o WannaCry?

Quando executado, o WannaCry verifica se o domínio do kill switch está disponível. Se não estiver disponível, o ransomware criptografa os dados do computador e tenta explorar o EternalBlue para se espalhar para mais computadores na Internet e na mesma rede.

Um computador infectado pesquisará a rede de destino em busca de dispositivos que aceitem tráfego nas portas TCP 135-139 ou 445, indicando que o sistema está configurado para executar o SMB.

Em seguida, ele iniciará uma conexão SMBv1 com o dispositivo e usará o estouro de buffer para assumir o controle do sistema e instalar o componente ransomware do ataque.

Tal como acontece com outros ransomwares, o malware exibe uma mensagem informando ao usuário que seus arquivos foram criptografados e exige o pagamento de um resgate de US $300 em Bitcoin em três dias ou US $600 em sete dias.

Três endereços Bitcoin codificados são usados para receber pagamentos das vítimas. Como acontece com todas as carteiras Bitcoin, as transações e saldos são acessíveis ao público, mas os proprietários permanecem desconhecidos.

Os especialistas em segurança aconselham os usuários afetados a não pagar o resgate, porque o pagamento geralmente não resulta na recuperação de dados.

Quando o WannaCry foi corrigido?

No dia seguinte ao ataque inicial, a Microsoft lançou atualizações de segurança para Windows XP, Windows Server 2003 e Windows 8. Esses patches foram criados em fevereiro, após uma dica sobre a vulnerabilidade em janeiro de 2017.

Em 14 de março de 2017, a Microsoft lançou o MS17-010, que detalhou a falha e corrigiu o exploit EternalBlue para Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2016.

Além do patch, Marcus Hutchins, da MalwareTech, descobriu o domínio kill switch codificado no WannaCry. Ele então registrou o domínio para impedir que o ataque se espalhasse, pois o worm só criptografaria arquivos de computador se não conseguisse se conectar ao domínio. Isso não ajudou em nada os sistemas infectados, mas retardou severamente a propagação do worm e deu tempo para que medidas defensivas fossem implantadas.

Em 14 de maio de 2017, uma nova variante do WannaCry apareceu com um novo e segundo kill switch que foi registrado por Matt Suiche no mesmo dia. No dia seguinte, outra variante com o terceiro e último kill switch foi registrada pelos analistas de ameaças da Check Point.

Nos dias seguintes, foi detectada outra versão do WannaCry que não tinha um kill switch.

Em 19 de maio de 2017, os hackers estavam tentando usar uma botnet para realizar um ataque distribuído de negação de serviço (DDoS) no domínio kill switch do WannaCry para deixá-lo offline. Em 22 de maio de 2017, o domínio foi protegido mudando para uma versão em cache do site que é capaz de lidar com cargas de tráfego muito maiores do que sites ativos.

Separadamente, pesquisadores da University College London e da Boston University relataram que seu sistema PayBreak poderia derrotar o WannaCry e outros ataques de ransomware, recuperando as chaves usadas para criptografar os dados do usuário, permitindo a descriptografia sem pagamento. Agora também existem muitas outras ferramentas gratuitas de descriptografia de ransomware disponíveis para o WannaCry.

Quem estava por trás do ataque cibernético WannaCry?

A análise linguística das notas de resgate indicou que os autores eram fluentes em chinês e proficientes em inglês, pois as versões das notas nesses idiomas pareciam escritas por humanos, enquanto outras línguas pareciam ser traduzidas por máquina.

>

O Centro de Análise Comportamental Cibernética do FBI disse que o computador que criou os arquivos de idioma do ransomware tinha fontes de idioma Hangul instaladas devido à presença da tag "\fcharset129" Rich Text Format. Os metadados nos arquivos de idiomas também indicaram que os computadores foram configurados para UTC+09:00 usado na Coreia.

Pesquisadores do Google, Microsoft, Kaspersky Lab e Symantec disseram que o código tinha semelhanças com o malware usado pelo norte-coreano Lazarus Group, que foi vinculado ao ataque cibernético à Sony Pictures em 2014 e a um assalto a banco em Bangladesh em 2016.

Um memorando vazado da NSA e o Centro Nacional de Segurança Cibernética do Reino Unido também chegaram à mesma conclusão.

Em 18 de dezembro de 2017, o governo dos Estados Unidos anunciou formalmente sua crença de que a Coreia do Norte estava por trás do ataque WannaCry. Canadá, Nova Zelândia, Austrália, Reino Unido e Japão apoiaram a afirmação dos Estados Unidos.

A Coreia do Norte, no entanto, negou ser responsável pelo ataque cibernético.

Quem foi afetado pelo WannaCry?

A escala foi sem precedentes, com estimativas de cerca de 200.000 computadores infectados em 150 países, com Rússia, Ucrânia, Índia e Taiwan sendo os mais afetados, de acordo com a Kaspersky Lab.

Uma das maiores agências afetadas foi o Serviço Nacional de Saúde, o sistema nacional de saúde com financiamento público da Inglaterra e um dos quatro Serviços Nacionais de Saúde para cada país constituinte do Reino Unido. É o maior sistema de saúde de pagador único do mundo.

Até 70.000 dispositivos, incluindo computadores, scanners de ressonância magnética, refrigeradores de armazenamento de sangue e equipamentos de teatro, podem ter sido afetados. Isso levou alguns serviços do NHS a recusar emergências não críticas e ambulâncias sendo desviadas.

Ao lado do NHS, a Telefónica, uma das maiores operadoras de telefonia e operadoras de rede móvel do mundo, foi uma das primeiras grandes organizações a relatar problemas causados pelo WannaCry. FedEx, Nissan, Ministério do Interior russo, polícia em Andhra Pradesh, Índia, universidades na China, Hitachi, polícia chinesa e Renault também foram afetados.

Qual foi a reação ao WannaCry?

Grande parte da atenção da mídia em torno do WannaCry se deveu ao fato de que a Agência de Segurança Nacional (NSA) descobriu a vulnerabilidade e a usou para criar um exploit para seu próprio trabalho ofensivo, em vez de denunciá-lo à Microsoft. Edward Snowden disse que se a NSA tivesse "divulgado em particular a falha usada para atacar hospitais quando a encontraram, não quando a perderam, o ataque pode não ter acontecido".

Em 17 de maio de 2017, em resposta às críticas sobre a falta de divulgação, os legisladores dos Estados Unidos introduziram a Lei PATCH, que visa "equilibrar a necessidade de divulgar vulnerabilidades com outros interesses de segurança nacional, aumentando a transparência e a responsabilidade para a confiança do público no processo".

O ataque de ransomware WannaCry é um dos piores ataques cibernéticos da memória recente. Apesar da escala, o ataque conta com o mesmo mecanismo de muitos ataques bem-sucedidos: encontrar portas expostas na Internet e explorar vulnerabilidades conhecidas.

Quando você pensa assim, o WannaCry perde muito de sua mística.

Como prevenir ataques cibernéticos como o WannaCry

A melhor maneira de evitar ataques como o WannaCry é a segurança básica de TI e as configurações de segurança, como corrigir todos os sistemas. O EternalBlue se conecta a portas SMB expostas, que nunca devem ser abertas à Internet de qualquer maneira.

Esta é a segurança 101 para qualquer pessoa que execute um data center da Microsoft. As portas 135-139 e 445 não são seguras para expor publicamente e não o são há uma década.

Ele mostra como a resiliência cibernética é baixa em todo o mundo, configurações incorretas evitáveis e vulnerabilidades conhecidas podem causar estragos globais e causar centenas de milhões a bilhões de dólares em perda de produtividade. O que se resume não são falhas em software, código ou firewalls (embora ajudem), mas processos e prioridades.

Dois axiomas básicos de segurança são manter seus sistemas corrigidos e usar software que não esteja no fim da vida útil. Se essas duas ideias fossem seguidas em todo o mundo, é provável que o WannaCry tivesse tido muito menos impacto.

O que é realmente preocupante é o quão vulneráveis devemos ser a ameaças cibernéticas e ferramentas de hacking verdadeiramente avançadas.

As outras coisas que devemos considerar são a segurança da informação e o gerenciamento de riscos da informação. Nunca deve haver uma situação em que dados importantes, dados confidenciais ou informações de identificação pessoal (PII) não sejam armazenados em outro lugar. Nem uma função crítica de negócios deve ter um processo adequado para restaurar o sistema a um estado de funcionamento.

Veja como evitar ataques como o WannaCry e minimizar seu impacto se eles ocorrerem:

  • Nenhum ponto único de falha: seja ransomware, falha de hardware, erro de banco de dados ou qualquer outra coisa. Se seus dados forem importantes, eles devem ser copiados, pelo menos em outro local seguro.
  • Automatize o processo de provisionamento: se um ativo for desativado por ransomware ou qualquer outra coisa, você poderá devolvê-lo a um estado de trabalho o mais rápido possível.
  • Corrija tudo: mantenha seus sistemas atualizados para evitar explorações conhecidas.
  • Faça backup dos dados: Sempre faça backup de seus dados caso seja afetado por ransomware.

Essas táticas, juntamente com muitas outras, reduzem o risco de segurança cibernética do ransomware, transformando-o de um desastre em um pequeno incômodo. É por isso que a segurança cibernética é importante, não basta instalar um antivírus e esperar o melhor. Você precisa de monitoramento de segurança cibernética em tempo real de você e de seus fornecedores terceirizados para reduzir o risco de terceiros e o risco de terceiros. Você precisa formular um processo de avaliação de risco de segurança cibernética, uma estrutura de gerenciamento de risco de terceiros e um programa de gerenciamento de risco do fornecedor.

O UpGuard mostra onde você e seus fornecedores são suscetíveis a vulnerabilidades como o EternalBlue. O UpGuard BreachSight pode ajudar a combater o typosquatting, evitar violações e vazamentos de dados, evitar multas regulatórias e proteger a confiança de seus clientes por meio de classificações de segurança cibernética e detecção contínua de exposição.

Também podemos ajudá-lo a monitorar, classificar e enviar continuamente questionários de segurança aos seus fornecedores para controlar o risco de terceiros e o risco de terceiros e melhorar sua postura de segurança, bem como criar automaticamente um inventário, aplicar políticas e detectar alterações inesperadas em sua infraestrutura de TI. Ajudando você a dimensionar o gerenciamento de riscos de fornecedores, gerenciamento de riscos de terceiros e avaliações de riscos de segurança.