Ransomware WannaCry

Sexta-feira, 12 de maio de 2017, tudo corria normalmente até que um ataque começou a tomar conta de toda a internet aquele dia ficaria conhecido como o maior ataque mundial já realizado por um ransomware conhecido como WannaCry …

Olá meu nome é João Pontes e este é o Pod Security Network….hoje vamos falar sobre Ransomware

O Ransomware é um “software” malicioso que infecta seu computador e exibe mensagens exigindo o pagamento de um resgate para fazer o sistema voltar a funcionar.

Os tipos mais comuns são

Ransomware Locker: impede que você acesse o equipamento infectado.

Ransomware Crypto: impede que você acesse aos dados armazenados no equipamento infectado, geralmente usando criptografia.

Além de infectar o equipamento o ransomware costuma buscar outros dispositivos conectados, tanto locais ou em rede, e criptografá-los também.

Durante o ano de 2017 um grupo de hackers chamados de Shadow Brokers conseguiu acesso a informações confidenciais da Agência Nacional de Segurança dos EUA (NSA). Os arquivos viriam a ser publicados ‘online’ algumas semanas depois, com informações técnicas usadas pela NSA, tal como falhas exploradas pela organização.

Uma delas é a EternalBlue que está associada aos sistemas operacionais da Microsoft, na implementação do protocolo SMB – Server Message Block, por meio da porta 445. Em um ataque, os cibercriminosos examinam a Internet em busca de portas SMB expostas e, caso sejam encontradas, lançam o código do exploit. Quando conseguem explorar essa vulnerabilidade, o alvo afetado executa um payload escolhido pelo cibercriminoso. Este foi o mecanismo usado para a efetiva propagação do ransomware WannaCryptor.

A Microsoft lançou uma correção para a falha na sua atualização mensal aproximadamente 30 dias antes, mas para que a correção seja válida é necessário que os computadores estejam atualizados. Os hackers decidiram explorar a vulnerabilidade, mesmo sabendo que já tinha sido corrigida.

O malware foi criado de forma a comportar-se como um worm. Isto quer dizer que bastava infectar um computador dentro de uma rede, para depois espalhar-se pelos computadores – motivo pelo qual muitas empresas decidiram desligar os seus sistemas mesmo não tendo ainda sinais de que pudessem ser afetados.

WannaCry um crypto-ransomware que afeta o sistema operacional Windows. Seu ataque em larga escala comprometeu mais de 230.000 sistemas. Organizações como a Telefônica e o Serviço Nacional de Saúde britânico foram afetadas, como outras operadoras de telecomunicações, empresas de transportes, organizações governamentais, bancos e universidades. A Europol qualificou o seu impacto como sem precedentes.

A propagação do WannaCry se deu através de um anexo de correio eletrônico ou através de outros computadores comprometidos na mesma rede graças a um executável, com características de worm, que procurava replicar-se por servidores Windows acessíveis através da porta 445. Após ganhar acesso a um sistema, inicia-se à sua replicação e execução. A ameaça procede depois à extração de um cliente TOR, para a comunicação com os servidores de comando e controle, e alteração de privilégios do utilizador de modo a facilitar a criptografia dos dados.

Após a encriptação dos dados, serviços relacionados com a recuperação de dados e restauração do sistema são desativados pelo ransomware. Como acontece com ameaças semelhantes, é exigido o resgate dos dados através do pagamento em bitcoins num prazo de três dias, e com a ameaça de destruição dos dados caso a quantia não seja paga. A mensagem foi traduzida para mais de vinte idiomas.

No dia 13 de maio de 2017, um investigador usando o pseudônimo MalwareTech, criou uma ferramenta para monitorar a propagação do ransomware em tempo real, encontrou por acidente um mecanismo de interrupção contido no código da ameaça, que permitia a prevenção da sua propagação através do contato com um domínio específico que o WannaCry utilizava para funcionar. Ele registrou o domínio e isso parou o malware imediatamente. O feito, no entanto, acabou levando à publicidade de seu nome e permitiu que ele fosse investigado e preso pelas autoridades sendo acusado pela criação do Kronos um trojan bancário que utiliza técnicas de keylogging e web injection que aconteceu entre 2014 e 2015, sua identidade foi revelada posteriormente trata-se do Analista britânico Marcus Hutchins.

Para se proteger de um ataque de ransomware você deve tomar os mesmos cuidados que toma para evitar os outros códigos maliciosos, como:

Manter o sistema operacional e os programas instalados com todas as atualizações aplicadas;

Ter um antivírus instalado;

Ser cuidadoso ao clicar em links ou abrir arquivos.

Fazer backups regularmente também é essencial para proteger os seus dados pois, se seu equipamento for infectado, a única garantia de que você conseguirá acessá-los novamente é possuir backups atualizados.

O pagamento do resgate não garante que você conseguirá restabelecer o acesso aos dados.

A SophosLabs mostra que a ameaça do WannaCry segue alarmante, com milhões de detecções até hoje, e que, apesar do malware original não ter sido atualizado, mais de 6 mil variantes efêmeras são criadas todos os meses.

O surto do WannaCry em 2017 mudou o cenário de ameaças para sempre. Quantos computadores sem atualização ainda estão por aí?

Segundo dados da empresa Fortinet o Brasil sofreu 15 bilhões de tentativas de ataque cibernético em apenas 3 meses de 2019. O levantamento foi feito usando dados de clientes da companhia no país. O Brasil continua sendo um alvo mundial importante para cibercriminosos, que escolhem sistemas ainda não corrigidos ou atualizados em empresas no país. O modo de operar é semelhante ao de ataques antigos, como os ocorridos pelo WannaCry.

Meu nome é João Pontes e este é o Pod Security Network.