O que é o WannaCry?

Em maio de 2017, o WannaCry se tornou o ransomware mais notório do mundo, atingindo aproximadamente 230 mil computadores ao redor do globo em um único dia. O ataque foi isolado rapidamente, mas suas variações continuam em atividade até hoje.

Como worm (verme de computador), o bloqueio do WannaCry é difícil, pois ele pode infectar dispositivos e se mover automaticamente em uma rede, colocando um grande número de dispositivos em risco a partir de uma única infecção. O WannaCry é apenas uma das muitas formas conhecidas de ransomware. Outras incluem o Sodinokibi e o Ryuk.

O que é o EternalBlue?

O exploit costuma explorar uma vulnerabilidade do sistema Windows conhecida como EternalBlue. E mesmo que seu uso seja para fins maliciosos, ele não foi desenvolvido por cibercriminosos. Muito pelo contrário, o malware foi criado pela Agência de Segurança Nacional dos EUA (NSA). Infelizmente o Eternalblue foi roubado por um grupo de cibercriminosos conhecido como The Shadow Brokers e foi usado para criar o WannaCry. Rapidamente a Microsoft criou uma correção para o malware, mas, desde então, todo PC Windows não atualizado continua vulnerável.

O Eternalblue explora o antigo protocolo de comunicação de rede da Microsoft chamado SMBv1. Ele simplesmente envia um pacote malicioso ao servidor, que passa a espalhar o seu código malicioso rapidamente pela rede, criando grandes ameaças de segurança em instantes.

Outros tipos de ransomwares que seguem uma abordagem semelhante são o Petya (também baseado no Eternalblue), o Cerber e o Locky.

O que aconteceu no ataque ao NHS?

Os ataques do WannaCry não foram direcionados a uma organização específica. Esses foram ataques especulativos, que buscavam uma oportunidade de infectar redes com brechas de segurança específicas.

Mesmo que o WannaCry não tenha empreendido um ataque direto ao NHS, o fraco esquema de segurança e sistemas desatualizados da rede facilitaram a execução do malware. Havia muitos computadores com versões desatualizadas do Windows 7 em funcionamento nos hospitais do Reino Unido. Assim, ao mesmo tempo que o ransomware se espalhava rapidamente ao redor do mundo, uma grande parte da rede ligada ao NHS estava vulnerável.

Além de infectar redes locais, o WannaCry conseguiu se espalhar para redes N3, que conectam todos os endereços do NHS. Mas o ataque não conseguiu se espalhar pelo sistema de e-mail da entidade, impedindo que ainda mais dados fossem sequestrados ou utilizados em golpes phishing.

Qual foi a resposta do NHS ao ataque?

A entidade pagou o resgate para os disseminadores do WannaCry?

O NHS e a agência de combate ao crime do Reino Unido alegam que nenhum resgate foi pago. Já o departamento de Saúde daquele país alega não ter conseguido avaliar os prejuízos ao sistema de saúde público, que alguns estimam que tenha ficado em torno de 92 milhões de libras (aproximadamente R$ 580 milhões).

O ataque cibernético foi bloqueado por Marcus Huitchins, pesquisador da área de cibersegurança. Ele identificou um domínio não registrado utilizado pelo ransomware para verificações automáticas programadas. Com o registro do domínio, foi possível criar um kill switch, espécie de mecanismo de desativação do malware. O Centro de Cibersegurança Nacional do Reino Unido passou os dias seguintes lutando contra tentativas de tirar o domínio da rede até que um método de descriptografia fosse descoberto.

Quais foram as consequências do ataque ao NHS?

Pelo menos 80 dos 236 hospitais filiados ao NHS foram afetados pelo vírus. Além deles, 603 postos de atendimento e outras organizações ligadas ao NHS e 595 consultórios de clínicos gerais também sofreram estragos com a ação.

O ataque cibernético foi bloqueado por Marcus Huitchins, pesquisador da área de cibersegurança. Ele identificou um domínio não registrado utilizado pelo ransomware para verificações automáticas programadas. Com o registro do domínio, foi possível criar um kill switch, espécie de mecanismo de desativação do malware. O Centro de Cibersegurança Nacional do Reino Unido passou os dias seguintes lutando contra tentativas de tirar o domínio da rede até que um método de descriptografia fosse descoberto.

Outros exemplos de ataques de ransomware em grandes hospitais

O ransomware que atingiu o NHS não foi o único incidente famoso por envolver unidades médicas. Em julho de 2019, o Springhill Medical Center, no Alabama (EUA), foi atacado por um ransomware, resultando na queda da rede ligada a sistemas de monitoramento de enfermagem. Entre outras consequências, Teiranni Kidd, uma das mães internadas no hospital, processou a entidade por seu filho ter nascido com problemas cerebrais, causando a sua morte em decorrência do ataque. O incidente provocou mudanças na forma de monitoramento da unidade. Essa foi a primeira vítima fatal de um ransomware.

Outro ataque de ransomware com consequências brutais se deu em setembro de 2020, na unidade do United Health Services. O departamento de TI do hospital foi derrubado pelo ransomware Ryuk, resultando no cancelamento de consultas, transferência de pacientes para outras unidades de saúde e dependência de registros em papel para dar continuidade às atividades. A recuperação do incidente demorou cerca de um mês e custou quase US$ 67 milhões.

Infelizmente os ataques de ransomware a hospitais está em alta. Um estudo revela que 45 milhões de pessoas foram afetadas por ataques a sistemas de saúde em 2021, uma alta de 34 milhões em comparação a 2020. Outra pesquisa revela que 81% das organizações de saúde do Reino Unido foram vítimas de ataques de ransomware em 2021.