WannaCry: ataque massivo

Já se passaram vários dias desde a ocorrência do surto do WannaCry, mas mesmo assim resolvi deixar alguns comentários para o futuro, só para fins de registro…

Na sexta-feira, 12/Maio/2017, o ransomware WannaCry virou notícia no mundo todo, graças a um surto massivo que ninguém sabe quem, ou onde, realmente iniciou (pelo menos até agora).

Ao contrário de outros ransomwares, o WannaCry usou o exploit ETERNALBLUE para se espalhar. Este exploit explora uma vulnerabilidade no protocolo SMBv1, utilizado no compartilhamento de arquivos em redes Windows. Agora, vejamos alguns fatos:

  • A referida vulnerabilidade foi corrigida pela Microsoft e lançada em março para todas as versões correntes do Windows;
  • Em abril, o grupo hacker Shadowbrokers disponibilizou na Internet um conjunto e ferramentas obtidas da NSA através de um vazamento. Dentre estas ferramentas, está o exploit Eternalblue, e o backdoor PULSAR;
  • Variantes do malware começaram a surgir nos dias seguintes ao surto.

O primeiro grande surto do malware WannaCry ocorreu no dia 12 de maio, então, desde a correção do bug no Windows até a ocorrência do surto, se passaram quase dois meses. No entanto, deve-se atentar para o fato de que as correções só foram lançadas para as versões correntes do Windows. Eu não tenho nenhuma estatística de uso do Windows, mas acredito que ainda existam muitas versões de Windows não mais atualizadas (vide, por exemplo, quantos caixas eletrônicos bancários ainda utilizam o Windows XP).

As primeiras análises do WannaCry indicaram que o worm se propagava para outros computadores verificando a existência do backdoor DoublePulsar e, caso o computador não tivesse este backdoor ativo, então o WannaCry tentava explorar a vulnerabilidade do SMBv1 utilizando o exploit Eternalblue.

Só para esclarecer, o exploit DoublePulsar é um sofisticado payload que funciona em sistemas Windows de 32 e 64-bit que permite ao atacante executar qualquer shellcode que ele desejar.

O EternalBlue é um exploit que explora uma vulnerabilidade no protocolo SMBv1.

Então é fácil explicar porque este malware alcançou tamanho sucesso na disseminação:

  • Houve uma demora muito grande na atualização dos sistemas: há uma janela de quase dois meses entre o lançamento dos patches e o surto do malware;
  • Ao que tudo indica, ainda há uma grande quantidade de versões obsoletas de sistemas operacionais em operação. De fato, que trabalha na área de TI sabe que é bem difícil, em certos casos, conseguir efetuar a substituição de sistemas em geral quando novas versões são disponibilizadas e as mais antigas deixam de ter as atualizações lançadas pelos fabricantes. Há o problema do custo de atualização das licenças, a necessidade de migrar e testar todas as aplicações para as novas versões dos sistemas, e, no meu entender, as empresas parecem gostar da máxima «em time que está ganhando (funcionando), não se mexe». Grande engano: na área de sistemas, se não atualizamos sistemas que estão «ganhando» (ou seja, funcionando), o risco de ele se tornar um grande problema com grande prejuízos é enorme;
  • Apesar de não termos informações precisas de como o surto iniciou, há grande chance de ela ter iniciado aproveitando-se da existência de algum sistema com a porta 445/TCP acessível na Internet.

Graças à junção de todos estes fatos, o balanço final do surto foi o seguinte: em questão de poucas horas, mais de 230.000 computadores foram infectados em 150 países, e acredito que este número deva ser bem maior, porque nem todas as ocorrências devem ter sido relatadas.

Segundo a análise de especialistas, o WannaCry espalha-se da seguinte forma: primeiro ele verifica se pode encontrar um site específico em http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Ele também verifica a existência de uma determinada chave no registro do Windows. Ele não irá continuar se a chave de registro estiver presente ou se o site puder ser acessado.

Horas depois do início do surto, o especialista em segurança inglês Marcus Hutchins, conhecido como MalwareTech, que vive na Inglaterra e trabalha para a Kryptos Logic, dos EUA, descobriu que o malware tentava acessar o domínio. O domínio foi então registrado e a taxa de infecção começou à baixar.

Várias ferramentas de definição das chaves de registro foram lançadas, dentre elas a chamada Tearst0pper, lançada pela Rendition Infosec; também podem ter auxiliado na redução da infecção.

No entanto, no dia seguinte ao surto, foram encontradas novas versões do malware que utilizam outros domínios.

Tudo isso indica o seguinte: somente a atualização dos sistemas e o bloqueio da porta 445/TCP na Internet é que podem parar o alastramento do malware.

Para um leigo, até pode parecer que surtos deste tipo não afetem as vidas das pessoas não diretamente relacionadas com computadores e estas coisas todas. O problema é que, atualmente, todos dependemos de algum tecnologia que, por sua vez, quase sempre estão conectadas de alguma forma a computadores.

Por exemplo, no dia 17/05/2017, cinco dias depois do surto e quando as coisas já estavam relativamente sobre controle, o jornalista Thomas Fox-Brewster, do Forbes, divulgou a notícia de relatos de o WannaCry também infectou dispositivos médicos. Ele divulgou algumas imagens de aparelhos, provavelmente da Bayer Medrad, infectado em um hospital dos Estados Unidos. Não há informações exatas sobre qual tipo de equipamento seja, mas há especulações de que seja um dispositivo de injeção de contraste utilizado em exames radiológicos, como os de ressonância magnética. O que ocorre é que, se um computador da rede do hospital for vítima de malwares como o WannaCry, todos os equipamentos conectados à rede poderão ser infectados. Ou seja, todos somos vítimas, direta ou indiretamente, quando os sistemas de computadores são violados.