O ataque de ransomware WannaCry ocorreu em 12 de maio de 2017, e afetou mais de 200 mil computadores. O WannaCry usou uma vulnerabilidade ao worm não corrigida nas redes de todo o mundo.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O ataque de ransomware* WannaCry foi um grande incidente de segurança que afetou organizações em todo o mundo. Em 12 de maio de 2017, o worm do ransomware WannaCry se espalhou para mais de 200 mil computadores em mais de 150 países. Vítimas ilustres incluem FedEx, Honda, Nissan e o Serviço Nacional de Saúde (NHS) do Reino Unido, que foi forçado a desviar algumas de suas ambulâncias para hospitais alternativos.
Poucas horas depois do ataque, WannaCry foi temporariamente neutralizado. Um pesquisador de segurança descobriu um "interruptor de eliminação" que essencialmente desligou o malware. No entanto, muitos computadores afetados permaneceram criptografados e inutilizáveis até que as vítimas pagassem o resgate ou pudessem reverter a criptografia.
O WannaCry se espalhou usando uma exploração de vulnerabilidade chamada "EternalBlue". A Agência de Segurança Nacional dos Estados Unidos (NSA) desenvolveu essa exploração, presumivelmente para uso próprio, mas ela foi roubada e lançada ao público por um grupo chamado Shadow Brokers depois que a própria NSA foi comprometida. O EternalBlue só funcionava em versões mais antigas e sem patch do Microsoft Windows, mas havia um número de máquinas mais do que o suficiente executando tais versões para permitir a rápida disseminação do WannaCry.
*O Ransomware é um software malicioso que bloqueia arquivos e dados através da criptografia e os detém para o pedido de resgate.
No campo da segurança, um worm é um programa de software malicioso que se espalha automaticamente para vários computadores em uma rede. Um worm usa vulnerabilidades do sistema operacional para saltar de um computador para outro, instalando cópias de si mesmo em cada computador.
Pense em um worm como um ladrão que anda por um parque de escritórios procurando por portas destrancadas. Assim que o ladrão encontrar uma, imagine que ele pode criar uma duplicata de si mesmo que permanece dentro do escritório destrancado, e ambas as versões continuam sua busca por portas destrancadas.
A maioria dos worms não contém ransomware. O ransomware normalmente se espalha por meio de e-mails maliciosos, comprometimento de credenciais, botnets ou explorações de vulnerabilidades altamente direcionadas (Ryuk é um exemplo do último). O WannaCry foi único no sentido de não só combinar ransomware com um worm, mas também usar uma vulnerabilidade habilitadora de worm particularmente poderosa que foi criada pela NSA.
Os Shadow Brokers são um grupo de invasores que começaram a vazar ferramentas de malware e explorações de dia zero para o público em 2016. Eles são suspeitos de terem adquirido várias explorações desenvolvidas pela NSA, possivelmente devido a um ataque interno na agência. Em 14 de abril de 2017, os Shadow Brokers vazaram a exploração EternalBlue que o WannaCry acabaria por usar.
A Microsoft lançou um patch para o EternalBlue em 14 de março, um mês antes do vazamento feito pelos Shadow Brokers, mas muitos computadores permaneceram sem patch no momento do ataque WannaCry.
No final de 2017, os EUA e o Reino Unido anunciaram que o governo da Coreia do Norte estava por trás do WannaCry. No entanto, alguns pesquisadores de segurança contestam essa atribuição. O WannaCry pode ter sido o trabalho do Grupo Lazarus, com sede na Coreia do Norte, argumentam alguns, sem vir diretamente do governo da Coreia do Norte. Outros sugerem que as pistas de autoria no malware podem ter sido plantadas lá para lançar a culpa nos invasores norte coreanos, e que o WannaCry pode ser de outra região.
No dia do ataque, um blogueiro e pesquisador de segurança chamado Marcus Hutchins começou a fazer engenharia reversa do código fonte do WannaCry. Ele descobriu que o WannaCry incluía uma função incomum: antes de executar, ele consultava o domínio iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Este site não existia.
Por isso, ele registrou o domínio. (Isso custou US$ 10,69.)
Depois que Hutchins o fez, cópias do WannaCry continuaram a se espalhar, mas elas pararam de ser executadas. Essencialmente, o WannaCry desligou-se assim que começou a receber uma resposta do iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Embora as motivações dos autores do WannaCry não possam ser conhecidas com certeza, a teoria é que essa função de consulta de domínio foi incluída no WannaCry para que o ransomware pudesse verificar se estava dentro de uma sandbox.
Uma sandbox é uma ferramenta anti-malware. É uma máquina virtual funcionando separadamente de todos os outros sistemas e redes. Ela fornece um ambiente seguro para executar arquivos não confiáveis e ver o que eles fazem.
Uma sandbox não está realmente conectada à internet. Mas as sandboxes visam imitar um computador real o mais próximo possível, de modo que podem gerar uma resposta falsa a uma consulta direcionada a um determinado domínio pelo malware. Como resultado, uma forma de o malware verificar se está dentro de uma sandbox é enviando uma consulta a um domínio falso. Se obtiver uma resposta "real" (gerada pela sandbox), ele pode assumir que está em uma sandbox e desligar-se para que a sandbox não o detecte como malicioso.
No entanto, se o malware enviar sua consulta de teste para um domínio codificado, ele pode ser levado a pensar que está sempre em uma área restrita se alguém registrar o domínio. Pode ser o que aconteceu com o WannaCry: cópias do WannaCry em todo o mundo foram levadas a pensar que estavam dentro de uma sandbox e se desligaram. (Um design melhor da perspectiva do autor do malware seria consultar um domínio aleatório que fosse diferente a cada vez — dessa forma, as chances de obter uma resposta do domínio fora de uma sandbox seriam próximas de zero.)
Outra explicação possível é que a cópia do WannaCry que se espalhou pelo mundo estava inacabada. Os autores do WannaCry podem ter codificado esse domínio como um espaço reservado, com a intenção de substituí-lo pelo endereço de seu servidor de comando e controle (C&C) antes de liberar o worm. Ou eles próprios podem ter tido a intenção de registrar iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. (filtragem de DNS ou filtragem de URL talvez pudesse ter parado as consultas a esse domínio, mas a maioria das organizações não teria sido capaz de implantar essa medida de segurança a tempo).
Independentemente do motivo, foi um golpe de sorte que uma ação tão simples pôde salvar computadores e redes em todo o mundo de mais infecções.
Descobriu-se que antes de Hutchins começar a trabalhar e ser blogueiro como pesquisador de segurança, ele passou anos frequentando fóruns de malware na dark web, criando e vendendo seu próprio malware. Poucos meses após o incidente WannaCry, o FBI prendeu Hutchins em Las Vegas, Nevada, por ser o autor do Kronos, uma variedade de malware bancário.
A versão do WannaCry que foi lançada no mundo em 2017 não funciona mais, graças ao domínio interruptor de eliminação de Hutchins. Além disso, um patch está disponível para a vulnerabilidade EternalBlue, que o WannaCry explorou, desde março de 2017.
No entanto, os ataques WannaCry continuam a ocorrer. Em março de 2021, o WannaCry ainda estava usando a vulnerabilidade EternalBlue, o que significa que apenas sistemas Windows extremamente antigos e desatualizados estavam em risco. Versões mais recentes do WannaCry removeram o recurso de interruptor de eliminação presente na versão original. A atualização dos sistemas operacionais e a instalação imediata de atualizações de segurança é altamente recomendada.
Enquanto a versão original do WannaCry não está mais ativa, várias lições importantes podem ser aprendidas com o ataque de maio de 2017:
Saiba mais sobre outras variedades de ransomware: