WannaCry: o que sabemos até agora

WannaCry: o que sabemos até agora

Um ciberataque sem precedentes utilizando uma variante de ransomware conhecida como WannaCry – em que o agressor criptografa os arquivos da máquina e exige pagamento para decodificá-los – tomou uma dimensão exponencial numa velocidade nunca vista pelos pesquisadores de segurança na web. Na data, mais de 75 mil sistemas em mais de 100 países reportaram infecções pelo malware, sendo os mais graves os direcionados aos serviços operacionais de instituições como: a Telefonica, na Espanha; o National Health Service – NHS (em português, o serviço nacional de saúde) no Reino Unido; e a FedEx, nos Estados Unidos e em alguns países da Europa, sendo o maior impacto na Rússia.

Apesar do ritmo de expansão do ataque ter diminuído, não quer dizer que acabou. Com base em dados fornecidos pela MalwareTec, o New York Times elaborou um mapa animado mostrando o quão rápido ocorreu a disseminação do WannaCry, que certamente serviu de um risco potencial à empresa.

Umas das primeiras organizações a reportar o ataque foi o NHS, no Reino Unido, onde as equipes de segurança continuam trabalhando contra o relógio para restaurar os sistemas de alguns dos 45 hospitais afetados na Inglaterra e Escócia. Incrivelmente perigoso, o ataque colocou pacientes em risco na medida em que os médicos perderam o acesso aos prontuários e tiveram de cancelar operações e consultas.

O perfil do Twitter da NHS’s East Kent Hospitals enviou uma mensagem para todos os funcionários indicando que o ransomware possivelmente estava anexado à um e-mail com o assunto Clinical Results. Se isso for verdade, aparentemente os hospitais foram alvos específicos da ação.

Embora seja provável que a NHS tenha figurado na maior parte da cobertura inicial da imprensa sobre o caso, devido à hora que o ataque aconteceu (no início da manhã de sexta-feira no Reino Unido), o WannaCry se espalhou rapidamente e não somente por outras organizações ao redor do mundo, mas também pelos dispositivos e sistemas que não sejam estações de trabalho padrão. Na Alemanha, por exemplo, a operadora ferroviária Deutsche Bahn informou que, embora os ataques não tenham interrompido a operação dos trens, omalware infectou os sistemas da companhia, incluindo o sistema que controla os monitores display nas estações.

Como o WannaCry trabalha e por que este ataque é único?

Ao mesmo tempo que essa variante de ransomware é carne de vaca, sua forma de infecção e expansão pelos sistemas é única. Geralmente, essa modalidade de ataque demanda que o usuário clique num link malicioso ou arquivo anexo proveniente de um e-mail phising, para então infectar o computador. Enquanto cibercriminosos podem espalhar milhares (ou milhões, talvez) de mensagens phising todos os dias, uma infiltração bem-sucedida ainda depende que a vítima acione o gatilho. Apesar de incrivelmente eficaz, para o vírus se espalhar ainda é preciso que cada usuário caia ou não no truque. Porém, com o WannaCry, não é assim.

Aparentemente, uma vez que uma única tentativa tem sucesso e infecta um PC atrás das defesas do Firewall, o executável malicioso pode se mover lateralmente dentro da rede e se propagar sozinho por outros sistemas. Uma análise inicial por pesquisadores de cibersegurança indica como isso acontece: é feita uma varredura e identificação de sistemas com as portas 139 e 445 abertas, aliada ao monitoramento das conexões de entrada e um pesado escaneamento através da porta TCP 445 (Server Message Block/SMB). Isso permite que o malwarese espalhe por conta própria de maneira similar a um worm. O arquivo malicioso então se movimenta utilizando cada seção RDP num sistema para executar o ransomware até chegar às contas administradoras. Para dar suporte à operação, também é instalado um DOUBLEPULSAR backdoor para corromper os volumes de sombra e tornar a recuperação mais difícil.

O WannaCry é capaz de agir onde o PC está aberto para ouvir e que não tenha sido atualizado com o patch de segurança crítico MS-17-010, da Microsoft, emitido no último dia 14 de março para sobrepor as vulnerabilidades no SMBv1 (a Microsoft não menciona o SMBv2). Vale lembrar que as máquinas com Windows 10 não estão sujeitas a essa vulnerabilidade, portanto não correm risco de propagar esse malware por essa via.

Além disso, a CiscoTalos observou o DOUBLEPULSAR, um backdoor persistente que é geralmente usado para acessar e executar um código em sistemas previamente comprometidos e que documentou a estrutura de exploração ofensiva lançada como parte do cache do Shadow Brokers.

O que ocorre com os sistemas infectados?

Uma vez que o ransomware infecta o sistema, o vírus começa a criptografar tudo o que encontra. O arquivo taskche.exe procura os drives, tanto internos como externos, identificados pelas nomenclaturas “c:/” e “d:/”, para que redes compartilhadas sejam também afetadas. Quando são encontrados arquivos de interesse, a criptografia utilizada é a 048-bit RSA. Quão forte isso é? Bom... uma postagem da DigiCert revela que um computador padrão levaria 1,5 milhões anos para quebrar o código.

A partir disso, o usuário recebe uma notificação em sua tela exigindo US$300 em Bitcoins para liberar os arquivos e restaurar o sistema. Caso a demanda não seja atendida, as informações se tornarão permanentemente inacessíveis e deletadas uma a uma. Alguns relatórios indicam que, caso o pagamento não seja efetuado em até seis horas, o resgate aumenta para US$600, e há casos que esse prazo é estabelecido para três dias a partir do ataque. Esse modo de operação incrivelmente traiçoeiro de engenharia social cria um senso de urgência ao usuário, forçando-o a pagar o resgate, sob o risco de ter um custo maior ou perder todos seus dados. Outra tática utilizada é a liberação de uma pequena parte dos arquivos afetados, incutindo na vítima a esperança de recuperar tudo caso aceite a extorsão.

É importante destacar que os criminosos por trás desses ataques não possuem qualquer obrigação em fornecer a chave de decriptação. Ou seja, pagar o resgate nem sempre é a solução desse problema. Sem contar que atender as exigências desses criminosos pode sinalizar o usuário como um potencial alvo para futuros ataques, além de financiar o desenvolvimento de novas e mais sofisticadas armas cibernéticas.

Por que a infestação está diminuindo: o “interruptor”

A CiscoTalos descobriu no começo da investigação que o WannaCry enviava pedidos para o domínioiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Provavelmente, esse domínio foi gerado por humanos, já que os caracteres incluídos consistem principalmente em chaves na linha superior do teclado. Estes padrões são geralmente surgem quando alguém "amassa" o teclado e são facilmente reconhecíveis por pesquisadores de segurança.

Aparentemente, se o WannaCry puder se comunicar com esse domínio, sua execução será interrompida e o sistema não será infectado. Como esse endereço não é registrado, a ideia é que essa tentativa de contato ocorra sempre que o vírus se estabeleça, e em caso de falha, o ataque continuaria – estabelecendo esse domínio como uma espécie de “interruptor”. É uma técnica altamente comum, que parece ter sido planejada pelo criador do malware como medida para parar a propagação da ofensiva.

Um astuto pesquisador de segurança, @malwaretechblog, com a ajuda de Darien Huss, da empresa de cibersegurança ProofPoint, encontrou e ativou esse interruptor, simplesmente registrando esse domínio.

Por mais anticlimático que pareça, apertar esse botão vermelho aparentemente deu certo e diminuiu a infestação do vírus. Infelizmente, podemos esperar que os copycats já estão prontamente trabalhando em variações do ataque e, com criminosos em todos lugares aprendendo sobre o grande lance desse incidente, podemos esperar o lançamento de novos formatos e modificações desse tipo de ataque.

Quando o Conficker worm estava desenfreado e criando uma botnet gigantesca em 2008, um pesquisador também descobriu que o mesmo emitia um “chamado para casa” para domínios criados randomicamente, utilizado para passar instruções de comando e controle. Com base nisso, ele foi capaz de limitar a capacidade do Conficker -- de executar qualquer comando – registrando todos os domínios (em torno de 250 endereços pseudo-aleatórios, que englobavam as variantes A e B do malware). Apesar de registrar 250 domínios por dia estar ficando um pouco caro e demorado, ainda era possível para os defensores, coletivamente conhecidos como o Conficker Cabal, se manter à frente do atacante. Essa estratégia deixou de dar certo quando os hackers lançaram uma variante C dessa ofensiva, baixada diariamente a partir de 500 a 50.000 domínios pseudoaleatórios.

Podemos provavelmente esperar que as variantes futuras de WannaCry e de copycats empregarão uma tática similar, e assegurarmos que descobrir e ativar um interruptor simples não será eficaz outra vez.

E agora?

Recomendações de mitigação:

  1. Assegure-se que o todos os computadores com sistema operacional anterior ao Windows 10 estejam plenamente atualizados. Aliás, faça o mesmo com essa versão mais recente, também!
  2. Certifique-se que o patch Microsoft bulletin MS17-010 esteja devidamente instalado;
  3. As portas 139 e 445 que utilizam SMB para acesso público à internet devem ser imediatamente bloqueadas para prevenir;
  4. Bloqueie em seu firewall todos os endereços de IP reconhecidos como nodos de saída TOR. Essas informações estão geralmente disponíveis em feeds de inteligência de segurança;
  5. Se por alguma razão não for possível atualizar um dispositivo (como aparelhos médicos e outros que contenham sistemas de arquitetura fechados), tenha certeza de desabilitar o SMBv1.

Recomendação de prevenção:

  1. Garanta que todos os dispositivos estejam com seus sistemas operacionais atualizados, não apenas os PCs;
  2. Tenha um sistema de gerenciamento de patches no local para garantir que todas as versões mais recentes dos fornecedores sejam aplicadas a todos os endpoints de maneira oportuna;
  3. Instale algum tipo de proteção de endpointpara anti-malware em todos os seus sistemas e assegure-se de aplicar atualizações regulares;
  4. Apenas estabelecer um firewall atualizado e proteção de endpoint não é mais suficiente, visto que esse ataque se moveu lateralmente, atrás dessa linha de defesa. Isso significa que ferramentas de visibilidade de rede, que podem detectar, prevenir e mitigar ameaças em todas as redes físicas, virtuais e em nuvem, agora são obrigatórias;
  5. Assegure-se não somente de ter planos de continuidade de negócios e recuperação de desastres em vigor, mas que eles estão atualizados e são testados regularmente;
  6. Faça backup de tudo! Tenha certeza que essas cópias estejam offline, visto que os atacantes frequentemente miram sistemas de backup para aumentar os prejuízos da vítima;
  7. Treine seus usuários! Os empregados devem receber tanto um treinamento de conscientização sobre cibersegurança -- para ajudá-los a identificar e relatar ameaças, e proteger a si mesmos – como um treinamento tradicional para auxiliá-los a saber o que é esperado deles e como cumprir as políticas de segurança e procedimentos organizacionais.

 

[author] [author_image timthumb='on']https://docmanagement.com.br/wp-content/uploads/2017/05/thumbnail-Kevin-Magee-1.jpg[/author_image] [author_info]Kevin Magee

Diretor regional de Vendas no Canadá da Gigamon[/author_info] [/author]

Share This Post

Post Comment