O que é o ataque de ransomware WannaCry?

O WannaCry é um cryptoworm de ransomware que surgiu pela primeira vez em 17 de maio de 2017. Também conhecido como WannaCrypt, WannaDecryptOr 2.0 e WanaDecryptOr 2.0, ele visa especificamente computadores que executam qualquer versão do sistema operacional da Microsoft.

Os cibercriminosos enganam os usuários ou usam engenharia social para baixar o vírus e obter entrada em computadores e redes. Ele criptografa ou "sequestra" arquivos, aplicações e programas essenciais de muitas redes de computadores. Os criminosos virtuais então usam esse ataque do WannaCry Ransomware para exigir o pagamento (ou resgate) para restaurar os arquivos criptografados para o usuário.

O ransomware pode custar à sua Empresa até US$ 2 milhões por incidente. Criar um sistema de backup dinâmico é uma das melhores formas de evitar que a sua rede seja feita de refém. A Veeam pode ajudar sua empresa oferecendo um backup seguro que protege seus dados mais importantes, caso você seja vítima de um ataque de ransomware. Na maioria dos casos, você poderá voltar a operar rapidamente.

Como funciona

O WannaCry usa uma vulnerabilidade no Server Message Block (SMBv1) do sistema operacional Microsoft. Quando o WannaCry infecta um computador ou uma rede de computadores, uma tela aparece no computador do usuário informando que os arquivos foram criptografados e que o usuário precisa pagar um resgate de $300 em bitcoin dentro de três dias ou $600 dentro de sete dias.

Talvez o mais interessante – e também um alerta para todas as empresas atualizarem o software regularmente – é que a Microsoft descobriu a vulnerabilidade por conta própria e lançou um patch para todos os sistemas com suporte dois meses antes do WannaCry aparecer. Mais tarde, ela lançou um patch para versões mais antigas da Microsoft. Infelizmente, essa correção não impediu o uso do WannaCry.

Como o WannaCry se espalha

O WannaCry se concentra em uma versão mais antiga do SMBv1. Ele faz o download para computadores como um programa autônomo que extrai os componentes necessários para criptografar os dados do usuário. Ele se espalha rapidamente em qualquer rede usando máquinas mais antigas da Microsoft, incluindo aquelas que não são mais atendidas, como Windows XP e Windows 7.

O WannaCry também é um worm de rede que pode se transportar. Uma vez que inicialmente engana um usuário para fazer o download do vírus, ele pode se espalhar automaticamente usando o código de transporte. O WannaCry procura outras máquinas que podem estar infectadas e, em seguida, usa um hack inicialmente desenvolvido pela Agência de Segurança Nacional dos Estados Unidos (NSA) para acessar computadores. Ele então ganha acesso a redes de computadores por meio do DoublePulsar, um software de "porta dos fundos" que foi desenvolvido pela NSA, roubado por um grupo de hackers conhecido como Shadow Brokers (nome inspirado em um personagem do videogame Mass Effect), e então lançado ao público em abril de 2017. Pesquisadores afirmaram que o DoublePulsar infectou centenas de milhares de máquinas após apenas alguns dias e esse número não parava de aumentar.

WannaCry Kill Switch

Uma vez iniciado, o WannaCry tenta acessar um URL codificado chamado interruptor de desligamento. Ele criptografa dados essenciais no computador se não conseguir acessar essa URL. Se o software se conectar a esse URL, o computador desligará e nenhum dano adicional será causado.

Especialistas em computação que estudaram o WannaCry não sabem ao certo por que ele foi usado. O WannaCry usa um URL sem sentido (por exemplo, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) como interruptor de desligamento. Marcus Hutchins, um pesquisador de segurança britânico, começou a estudar o vírus WannaCry quase imediatamente. Ele notou que ele tentou entrar em contato com esse URL, concluindo que o software se comportou dessa forma para despistar os pesquisadores e tornar a análise do código mais complicada.

No entanto, Hutchins fez mais do que estudar o vírus. Ele então pagou para registrar esse URL e criou uma página da Web, impedindo que muitas versões do WannaCry criptografassem arquivos em outros computadores em todo o mundo. À medida que os cibercriminosos continuavam a usar diferentes URLs sem sentido em versões mais recentes, outros pesquisadores de computador fizeram o mesmo que Hutchins e registraram os URLs e criaram sites, tornando assim o WannaCry ineficaz. Poucos dias após o ataque inicial, o ataque do ransomware WannaCry havia diminuído a passos largos. As versões mais recentes do WannaCry evitam usar o interruptor de desligamento.

A história do WannaCry

A NSA descobriu a vulnerabilidade SMBv1 vários meses antes dos ataques do WannaCry. Em seguida, desenvolveu um hack para explorar o sistema conhecido como EternalBlue, mas não disse à Microsoft que havia encontrado essa vulnerabilidade. Os Shadow Brokers então hackearam a NSA em abril de 2017, roubaram o código para EternalBlue e o liberaram para o público. Embora houvesse versões do WannaCry flutuando na internet por meses antes dos ataques de maio de 2017, os cibercriminosos usaram o EternalBlue para torná-lo muito mais perigoso.

Quem criou o WannaCry?

Nenhum grupo jamais reivindicou publicamente a responsabilidade pelo WannaCry. No entanto, pesquisadores de empresas de cibersegurança descobriram que o código usado no WannaCry apresentava semelhanças com o código usado anteriormente pelo Lazarus Group (que também se autodenominaram Guardiões da Paz). Acredita-se que esse grupo esteja ligado ao governo norte-coreano e foi responsável pelo ataque cibernético de 2014 à Sony Pictures em resposta a um filme da Sony que mostrou o ditador norte-coreano Kim Jong-un sendo morto.

Após vários meses de investigação, o governo dos Estados Unidos acusou formalmente a Coreia do Norte de ser responsável pelo WannaCry. A Coreia do Norte negou todas as acusações. Nova Zelândia, Japão e Canadá se juntaram aos EUA para culpar a Coreia do Norte. Mais tarde, o Reino Unido disse que os EUA estavam corretos em sua avaliação.

Muitos especialistas em pesquisa computacional e governos estrangeiros também criticaram a NSA por não notificar a Microsoft de antemão que havia encontrado a vulnerabilidade no SMBv1. Muitos acham que a NSA poderia ter contado silenciosamente à Microsoft sobre o problema sem torná-lo público. O presidente russo, Vladimir Putin, culpou diretamente os serviços de inteligência americanos pelo vírus WannaCry porque eles criaram o EternalBlue.

Por que o WannaCry funciona

O WannaCry funciona porque depende de vários fatores fundamentais:

Muitas empresas usam sistemas operacionais Windows mais antigos e sem suporte

Muitas empresas em todo o mundo, particularmente em países em desenvolvimento, não podem comprar novos softwares sempre que um novo sistema operacional da Microsoft estiver disponível. Eles também não podem comprar computadores mais novos que usam sistemas operacionais mais recentes da Microsoft. Consequentemente, muitas redes de computadores em todo o mundo ainda estão usando sistemas operacionais da Microsoft com a vulnerabilidade SMBv1. Como resultado, é fácil para o WannaCry infectar computadores em escala global.

Mesmo com sistemas operacionais mais novos, muitos usuários e empresas não conseguem atualizar regularmente seus sistemas sempre que a Microsoft lança novos patches para corrigir vulnerabilidades

Isso é verdade mesmo em empresas que possuem grandes operações de segurança na internet. Muitos citam preocupações comerciais, como tempo de inatividade da rede ou preocupações de que correções mais recentes tornem outros softwares inutilizáveis, como motivos não fazer o download de patches.

Muitas empresas não querem gastar tempo ou dinheiro para criar cópias de segurança seguras de seus documentos mais importantes

Talvez a melhor maneira de derrotar ransomwares como o WannaCry seja ter um sistema de backup seguro para seus documentos mais importantes. Infelizmente, muitas das empresas afetadas pelo WannaCry não fizeram isso. Elas foram forçadas a desativar componentes essenciais de seus negócios, incluindo até mesmo fábricas inteiras, ou interromper completamente a produção por vários dias.

O impacto

O impacto do WannaCry é mundial e muito grande. Estimativas de diferentes grupos de pesquisa colocam o número de computadores infectados entre 200.000 e 250.000 em 150 países. O vírus afeta Taiwan, Índia, Ucrânia e Rússia, principalmente por causa do uso de sistemas operacionais mais antigos da Microsoft. Devido a medidas defensivas, como a descoberta do interruptor de emergência por Marcus Hutchins, os países norte-americanos são menos afetados.

Talvez a maior agência afetada pelo vírus WannaCry tenha sido o Serviço Nacional de Saúde da Inglaterra e da Escócia. O WannaCry não afetou apenas computadores – também afetou geladeiras de armazenamento de sangue, equipamentos em salas de cirurgia e equipamentos de ressonância magnética. O vírus forçou o NHS britânico a cancelar milhares de visitas hospitalares não emergenciais, que gerou custos na ordem de milhões de libras.

Outras organizações atingidas pelo WannaCry incluíram delegacias de polícia na Índia; universidades na Grécia, Canadá e Indonésia; montadoras de automóveis na Rússia, Romênia e Japão; FedEx; hospitais na Eslováquia e na Indonésia; as redes de telecomunicações de Portugal e da Arábia Saudita; a ferrovia russa; e até tribunais no Brasil. Essas são apenas algumas das centenas de empresas e organizações afetadas pelo WannaCry. Enquanto o WannaCry exige apenas um simples resgate que varia de US$ 300 a US$ 600, o custo geral para as empresas foi estimado em US$ 4 bilhões em perdas de produção.

Resposta defensiva

Sem dúvida prejudicada pela exploração de versões anteriores de seu sistema operacional, a Microsoft construiu ferramentas anti-ransomware no Windows 10 e Windows 11. Conhecida como Acesso Controlado a Pastas, essa ferramenta só permite fazer o download de aplicações verificadas para os computadores.

Também poucos dias após os ataques iniciais do WannaCry, a Microsoft lançou patches para corrigir essa vulnerabilidade em seus sistemas operacionais mais antigos e não suportados. Embora essa tenha sido uma medida incomum para a Microsoft, a empresa sentiu que era necessário proteger os usuários contra o WannaCry.

Muitas pessoas não pagaram o resgate. Os pesquisadores descobriram que o vírus WannaCry havia sido liberado antes de estar completamente pronto. Como resultado, os criminosos virtuais não conseguiram determinar quem pagou a taxa de resgate e não conseguiram restaurar o acesso aos arquivos criptografados. Além disso, as agências governamentais e de aplicação da lei perceberam que pagar aos criminosos virtuais apenas os incentivava a usar mais ransomware, sem nenhuma garantia de recuperação dos dados mesmo após o pagamento.

O WannaCry ainda é uma ameaça?

Infelizmente, o WannaCry ainda está afetando os computadores em 2023. Muitos especialistas em segurança acreditam que, apesar dos efeitos devastadores do WannaCry, melhorias duradouras na segurança cibernética não foram produzidas. Muitas empresas ainda usam sistemas operacionais mais antigos da Microsoft e não conseguiram atualizar o software com os patches necessários para impedir o WannaCry. As empresas não treinaram os funcionários para reconhecer e-mails de phishing ou ataques de engenharia social. Muitas empresas ainda não instalaram sistemas de backup seguros, acreditando falsamente que isso nunca acontecerá com elas.

Estratégias de mitigação de ransomware

Embora os ataques de ransomware tenham aumentado acentuadamente nos últimos anos, como mostrado pelas Tendências de Ransomware2024 sobre esses ataques, as estratégias de mitigação também melhoraram.

Uma das melhores maneiras de se proteger contra ataques de ransomware é ter uma força de trabalho treinada para reconhecer os sinais. Os funcionários devem ser treinados para identificar e-mails de phishing contendo anexos perigosos. Um especialista em informática comentou: "Na hora de escolher entre pinguins dançantes e segurança de computadores, os pinguins dançantes sempre vencem". Nem todo ransomware é um worm de rede. A maior parte do ransomware depende do download da aplicação nociva pelos usuários.

Os funcionários também devem aprender a identificar a engenharia social, que usa e-mails oficiais de supostos governos ou organizações policiais para incentivar os usuários a baixar esses anexos.

Outras ferramentas de mitigação incluem sistemas de backup seguros, como os disponíveis pela Veeam, que protegerão seus documentos mais importantes e permitirão que você restaure seus dados em horas, se não minutos.

Como prevenir o WannaCry

Há várias maneiras de impedir que o WannaCry infecte seu computador ou rede:

• Atualize seu sistema para que ele inclua os patches mais recentes
• Instale software dedicado que bloqueia o ransomware
• Bloqueie a porta 445 para segurança extra. O WannaCry usa a porta 445 para muitas de suas comunicações, o que o ajuda a começar a criptografar arquivos
• Use sistemas de backup seguros para proteger seus dados mais importantes

Como detectar o WannaCry

Talvez a melhor maneira de detectar se o WannaCry está em sua rede é verificar os logs do computador e o tráfego de rede. Primeiro, você deve desativar o SMBv1 se ele ainda operar em seus computadores. A SolarWinds oferece uma cartilha que ensina a usar os logs do servidor para detectar o WannaCry. Preste atenção à criação de arquivos e ao tráfego de saída na porta 445 (um dos motivos pelos quais você deve bloquear essa porta).

Como remover o malware WannaCry

A Microsoft agora oferece uma Ferramenta de Remoção de Software Mal-Intencionado. O site de revisão de software Geek's Advice também tem um guia sobre como remover o software manualmente. No entanto, pode ser difícil e não deve ser feito por ninguém que não esteja familiarizado com sistemas de computador.

Como a Veeam pode ajudar

Embora existam várias formas de impedir que o vírus WannaCry e outros ransomwares infectem as suas redes, a sua última e melhor defesa é um sistema de backup seguro. A Veeam Ransom Protection é segura por design. Ter um backup confiável pode ser a diferença entre estar operacional rapidamente após um ataque e não pagar um centavo aos criminosos virtuais, ou ficar fora do ar por muito tempo e pagar um resgate elevado.