WannaCry Ransomware Attack

Supostamente desenvolvido pelo grupo norte-coreano Lazarus, o WannaCry combinou código de exploração roubado do governo dos EUA com código personalizado para criar um worm ransomware . O worm foi implantado em maio de 2017 em um ataque global que infectou cerca de 200 mil computadores em um período de três dias. Ao explorar uma vulnerabilidade nos sistemas Windows, o malware poderia infectar novas vítimas por conta própria, permitindo que se espalhasse exponencialmente pela Internet.

Saiba mais Agende uma demo

O dano potencial do WannaCry

A disseminação do malware e os danos que causou significaram que o ataque de três dias teve um custo global estimado em milhares de milhões.

No entanto, os danos causados pelo Wannacry não foram distribuídos uniformemente pelas diferentes empresas e indústrias. Organizações como o Serviço Nacional de Saúde (NHS) do Reino Unido, que operava um grande número de máquinas vulneráveis, foram especialmente atingidas. O custo do Wannacry apenas para o NHS é estimado em US$ 100 milhões.

O surto de 2017 só foi interrompido pela descoberta de um “kill switch” dentro do código WannaCry, que, quando acionado, impediu que o malware se espalhasse ainda mais ou criptografasse os dados armazenados em quaisquer máquinas adicionais. Desde o surto de 2017, ocorreram ataques adicionais por versões modificadas do WannaCry. No entanto, nenhum deles alcançou a mesma pegada, custo ou reconhecimento que o surto original.

Como funciona ransomware Wannacry?

Como um tipo de ransomware, ele seguirá uma série de etapas amplamente padronizadas, desde a infecção inicial, passando pela criptografia de dados, até o pedido final de resgate.

#1. Infecção

Ao contrário de muitas outras variantes de ransomware, o WannaCry se espalha por conta própria, em vez de ser transportado por e-mail malicioso ou instalado por meio de droppers de malware.

A funcionalidade do worm WannaCry vem do uso do exploit EternalBlue, que tira vantagem de uma vulnerabilidade no protocolo Server Message Block (SMB) do Windows. A vulnerabilidade foi descoberta pela primeira vez pela Agência de Segurança Nacional (NSA) e divulgada publicamente pelos Shadow Brokers.

Após o vazamento do EternalBlue, a Microsoft lançou uma versão atualizada do SMB que corrigiu o problema em abril de 2017. Embora isso tenha ocorrido um mês antes do surto principal do WannaCry, muitas organizações ainda não haviam instalado o patch, tornando-as vulneráveis ao WannaCry.

As máquinas infectadas com o WannaCry verificam a Internet em busca de outras máquinas que executem uma versão vulnerável do SMB. Se for encontrado, o computador infectado usa o EternalBlue para enviar e executar uma cópia do WannaCry no computador de destino. Neste ponto, o malware pode começar a criptografar os arquivos do computador. No entanto, primeiro verifica a existência de um determinado site. Se o site existir, o malware não fará nada. A presença deste “kill switch” é teorizada como uma forma de impedir a propagação do WannaCry (que se espalha de forma independente uma vez lançado) ou como um meio de tornar a análise forense mais difícil (uma vez que a maioria dos ambientes de laboratório de segurança cibernética fingirá que qualquer site que as solicitações de malware existem). Caso o domínio solicitado não seja encontrado, o WannaCry segue para a etapa de criptografia.

#2. criptografia

Como uma variante de ransomware, o WannaCry foi projetado para negar ao usuário o acesso aos seus arquivos em um computador, a menos que um resgate seja pago. Isto é conseguido através do uso de criptografia, onde o malware transforma os dados de uma forma que só é reversível com o conhecimento da chave secreta. Como a chave secreta do WannaCry só é conhecida pelo operador do ransomware, isso força a vítima a pagar o resgate para recuperar seus dados.

WannaCry foi projetado para pesquisar e criptografar uma lista definida de tipos de extensão de arquivo em um computador. Isso é feito para minimizar o impacto do malware na estabilidade do sistema. Um computador pode não funcionar se os arquivos errados forem criptografados, impossibilitando a vítima de pagar um resgate ou recuperar seus arquivos.

#3. Resgate

O malware WannaCry exigiu um resgate de US$ 300 de suas vítimas. No entanto, o pedido de resgate era para pagar em Bitcoin, não em moeda fiduciária. Como criptomoeda, o Bitcoin é menos rastreável do que os tipos tradicionais de moeda, o que é útil para operadores de ransomware, pois permite incorporar um endereço de pagamento (semelhante a um número de conta bancária) em uma mensagem de resgate sem alertar imediatamente as autoridades sobre sua identidade .

Se uma vítima de um ataque WannaCry pagar o resgate, ela deverá receber uma chave de descriptografia para seu computador. Isso permite que um programa de descriptografia fornecido pelos cibercriminosos reverta a transformação realizada nos arquivos do usuário e devolva o acesso aos dados originais.

Como se proteger contra ransomwareWannaCry

O ransomware WannaCry depende fortemente da exploração EternalBlue para funcionar. Os autores do malware original usaram essa vulnerabilidade para transformar o WannaCry em um worm, capaz de se espalhar sozinho. Nesse caso, a maneira mais simples de se proteger contra o WannaCry é desabilitar o SMB ou instalar o patch fornecido pela Microsoft que corrige a vulnerabilidade.

No entanto, esta é uma solução para um problema muito específico. Ele não protegerá uma organização contra outras variantes de ransomware ou propagação do WannaCry por diferentes meios. Para saber como proteger a organização contra uma ampla variedade de ameaças de ransomware, confira a solução anti-ransomware da Check Point.