Conheça o ransomware WannaCry
O ransomware WannaCry tem a capacidade de criptografar arquivos, pastas e aplicativos, tornando-os inacessíveis até que o pagamento de um “resgate” seja feito. Como o número de ataques ransomwares a empresas continua crescendo - tanto em quantidade quanto em alcance - preparamos este artigo com mais informações sobre o WannaCry. Aqui você vai descobrir quem foi seu criador, seus métodos de infecção de redes e qual a melhor forma de proteger os seus sistemas contra esse terrível malware.
O ataque do ransomware WannaCry
O WannaCry é um ransomware, isto é, uma espécie de malware que criptografa dados, sejam eles arquivos específicos ou sistemas de computadores inteiros, tornando-os inacessíveis aos seus usuários. Para complicar ainda mais as coisas, ele ainda exige o pagamento de um resgate para descriptografá-los. O WannaCry infecta dispositivos com a exploração de vulnerabilidades no Windows, já tendo causado muitos prejuízos financeiros e de reputação a muitas empresas e entidades públicas.
O WannaCry foi desenvolvido a partir de uma exploração chamada EternalBlue, que, por sua vez, foi roubada da Agência de Segurança Nacional dos EUA (NSA) pelo grupo cibercriminoso The Shadow Brokers. A gangue utilizou o exploit para atacar sistemas operacionais Windows não corrigidos ou desatualizados. Mesmo com o laçamento de correções pela Microsoft para reforçar a segurança de seu software, muitas organizações não as instalaram, o que permitiu a exploração dessa vulnerabilidade com os ataques desse ransomware.
O dia 12 de maio de 2017 registrou um dos ataques mais impactantes do WannaCry. Com a infecção de mais de 230 mil computadores PC Windows em mais de 150 países em apenas um dia, o malware afetou empresas, agências governamentais e instalações médicas. Entre as empresas atingidas, estão gigantes como: Telefonica, Deutsche Bahn, LATAM Airlines, FedEx e até montadoras de automóveis, como a Hitachi, a Renault e a Honda.
O Serviço Nacional de Saúde do Reino Unido (NHS) também foi um dos inúmeros serviços de saúde afetados por não corrigir o Windows. Assim, a entidade viu seus sistemas serem criptografados, tornando-os inacessíveis. Globalmente, o ataque causou um prejuízo estimado em bilhões de dólares, tornando-se um dos eventos envolvendo ransomware mais impactantes vistos até hoje.
O WannaCry foi finalmente bloqueado por Marcus Hutchins, especialista em cibersegurança. No mesmo mês do ataque em massa, ele desenvolveu um nome de domínio que efetivamente agia como um kill switch para bloquear o ataque do ransomware e impedir qualquer tentativa de remover o mecanismo de defesa.
Muitas empresas agora sabem como as correções são importantes para sua segurança, mas há muitos métodos utilizados pelos bandidos para acessar sistemas corporativos. Ransomwares continuam sendo um grande perigo por diversas razões:
- Eles podem causar um grande prejuízo financeiro e danos à reputação de uma empresa.
- A média de tempo de inatividade de uma empresa depois do ataque de ransomware é de 21 dias.
- O malware pode impactar questões ligadas a compliance e deixar uma empresa suscetível a outras consequências negativas.
Quem criou o WannaCry?
Mesmo que o grupo The Shadow Brokers tenha roubado o EternalBlue da NSA, o código malicioso foi desenvolvido por outros grupos cibercriminosos. Desde então, os governos dos EUA e do Reino Unido acreditam que uma divisão hacker da Coreia do Norte chamada Lazarus está por trás do ransomware.
Em fevereiro de 2021, o Departamento de Justiça dos EUA confirmou que programadores da Coreia do Norte foram acusados de criar e distribuir o WannaCry, tirando dinheiro de vítimas e roubando dados sigilosos.
Como o WannaCry infecta redes?
O WannaCry procura por vulnerabilidades no sistema operacional Windows utilizando o código de exploração EternalBlue. Isso envolve o acesso ao protocolo SMB, que permite o acesso a arquivos e serviços compartilhados, criptografia de arquivos e solicitação de um resgate para liberá-los. Ele funciona de forma similar ao Phobos, um tipo antigo de ransomware que procura por portas com protocolo RDP.
No evento de um ataque WannaCry, o exploit envia um código de solicitação SMB Echo para o protocolo SMB usado pelos dispositivos Microsoft Windows. Se não houver resposta, uma backdoor (entrada para o sistema que contorna medidas de segurança de autenticação e autorização) é estabelecida.
Com o uso de uma ferramenta malware de backdoor, como a DoublePulsar, para executar o WannaCry, cibercriminosos podem estabelecer uma conexão que permite a retirada de informações ou a inserção de malwares no sistema, como o WannaCry.
A ferramenta permite que cibercriminosos estabeleçam uma conexão entre os protocolos SMB (TCP porta 445) ou EDP (TCP porta 3389) para a implementação de uma chamada de procedimento assíncrona (APC). Esta etapa permite que a ferramenta libere um DLL no serviço LSASS (Lsass.exe), que é o responsável pelas políticas de segurança do Windows, como serviços de alterações de senhas e de autenticação, assim como a replicação de programas. Após a conclusão dessa etapa, o código shell (shellcode), trecho de código usado como carga útil na exploração de uma vulnerabilidade de software, pode ser liberado nesses sistemas em uma ação conhecida como pulverização de pilha, permitindo a eliminação do código backdoor existente.
Depois que o WannaCry invade um dispositivo, ele utiliza recursos similares a um worm (verme de computador) para também analisar a rede em busca de outros dispositivos com softwares similares desatualizados, não corrigidos ou vulneráveis para replicar seu código malicioso nesses aparelhos.
Diferentemente de outros tipos de ataques ransomware, o WannaCry é muito claro quanto à sua presença. O malware exibe uma mensagem similar à publicada abaixo, exigindo o pagamento de um resgate.
Depois que os dispositivos de uma rede são infectados, a única forma de acessar os arquivos é com o uso de um backup externo dos arquivos e pastas atingidos (se estiver disponível) ou pagando o resgate. Mas não é aconselhável que isso seja feito, já que não há garantia nenhuma que o acesso aos arquivos infectados e aos sistemas operacionais será recuperado.
Correções do Windows
Após os ataques ransomware de 2017, a Microsoft desenvolveu correções de segurança emergenciais para todos os sistemas Windows, incluindo o Windows XP, Vista, 8 e edições antigas do Windows Server. A empresa declarou que se as atualizações automáticas dos seus sistemas estiverem ativadas, os clientes estariam protegidos. Para aqueles com as configurações de atualização definidas no modo manual, a recomendação foi para que instalassem as atualizações o mais rápido possível.
Segundo o Instituto de Segurança Nacional dos EUA, com o avanço constante dos ataques ransomware, que não param de crescer tanto em frequência quanto em sofisticação, a média do valor cobrado por resgate saltou de US$ 5 mil, em 2018, para cerca de US$ 200 mil, em 2020. Em 2021, um pagamento de US$ 40 milhões foi feito por uma companhia de seguros, estabelecendo um novo recorde mundial de valor pago a um ransomware.
Malwares continuam gerando muitos lucros aos cibercriminosos, e apenas poucos tipos de ransomwares têm chaves de descriptografia disponíveis publicamente. Isso significa que a remoção de um ransomware de PCs e dispositivos conectados a ele é complexa, sem contar que a recuperação dos arquivos armazenados na máquina pode ser impossível, mesmo com o pagamento de um resgate. Assim, é essencial a adoção de medidas de prevenção a ataques ransomware, incluindo a correção de softwares, para garantir que a empresa esteja sempre protegida contra ataques cibernéticos.
O WannaCry continua ativo?
Um kill switch foi capaz de bloquear um ataque do WannaCry em 2017, e a Microsoft lançou uma correção para proteger sistemas operacionais vulneráveis à exploração EternalBlue, mas o ransomware continua sendo uma ameaça ativa.
O WannaCry continua sendo atualizado por grupos cibercriminosos e ainda representa uma ameaça às empresas. Linhagens de ransomwares sofisticadas, como o Petya e o NotPetya, foram inspiradas no WannaCry, incorporando recursos similares, como a busca pelas mesmas vulnerabilidades em aplicativos Windows. A porcentagem de organizações que se tornaram vítimas de ransomwares no mundo todo também aumentou, saindo de 55,1%, em 2018, e chegando a 68,5%, em 2021.
Com tantas ameaças no horizonte da cibersegurança, a instalação de ferramentas de proteção de ransomware é fundamental.
Como evitar um ataque ransomware
A implementação de medidas ativas de prevenção a ataques ransomware é essencial para a segurança de ativos digitais:
- Inspeções de rede completas regularmente: Inspeções rotineiras das atividades da sua empresa devem incluir avaliação de vulnerabilidades que analisam a sua rede, os dispositivos conectados e aplicativos em busca de brechas de segurança em softwares com potencial de levar a um ataque ou violação de dados.
- Conscientização em cibersegurança: Estratégias de segurança devem incluir treinamento em cibersegurança. O objetivo é conscientizar os funcionários sobre vetores de ataque, como o recebimento de e-mails de fontes desconhecidas e golpes phishing, ou o clique em anexos que podem conter um malware cavalo de Troia.
- Política de senhas: A adoção de uma política de senhas deve encorajar os funcionários a usarem senhas robustas que protegem a sua organização contra ameaças externas, assim como o uso de um controle de acesso baseado em função para a proteção de dados e arquivos sigilosos.
- Atualização do sistema operacional e aplicativos: A implementação de medidas de prevenção de ameaças que podem impactar a empresa é essencial, assim como a proteção de arquivos e aplicativos importantes. Isso inclui a atualização regular dos sistemas e a implementação de ferramentas que corrigem automaticamente as vulnerabilidades dos softwares.
Proteção contra ataques do WannaCry
Desde 2017, a Avast já bloqueou mais de 170 milhões de ataques do ransomware WannaCry. Descubra como as nossas soluções para pequenas empresas podem oferecer ferramentas simples e poderosas para o seu negócio - proteção para seus dispositivos e dados contra malwares, golpes phishing, ransomwares e outros ataques cibernéticos avançados.
© 2024 Gen Digital Inc.