WannaCry: o primeiro ransomworm na indústria de cibersegurança

WannaCry é uma ameaça conhecida desde fevereiro, em sua primeira versão – um malware sem grande complexidade e de fácil remediação. Para ser mais específico, é um crypto-ransomware e, dentro das classificações, considerado como um trojan.

Um trojan, por natureza, exige algum tipo de interação por parte do usuário para que ele possa ser contraído no sistema. Se quiser entender mais a respeito de um trojan horse, o Cavalo de Tróia, confira este link.

No entanto, a nova versão veio com uma grande surpresa: agora, a praga é um worm, um ransomworm.

E qual é a diferença? Bom, um worm explora vulnerabilidades do sistema e não exige interação humana para se disseminar. Ou seja, é todo automático, basta o sistema estar vulnerável. Portanto, o WannaCry entra para a história como o primeiro ransomworm, ou seja, um ransomware com função de worm.

Falando de worm, em 2003, Bill Gates escreveu uma carta distribuída para toda a empresa pedindo aos seus funcionários que segurança seja uma prioridade. O motivo? Os diversos incidentes de worm que afetaram computadores no mundo todo prejudicando bastante a imagem e credibilidade da Microsoft no mercado.

Quanto aos ataques de worm em escala mundial, o último grande incidente registrado foi o chamado de Conficker, em 2009, que em seu máximo de infecção atingiu 15 milhões de máquinas.

Depois desse preâmbulo, vamos voltar ao que realmente interessa: o WannaCry.

First things first

Antes de aprofundar no episódio de sexta-feira, 12 de maio, é preciso esclarecer um ponto: a diferença entre vetor de ataque e a carga – o payload.

Imagine o ataque como um míssil. O corpo do míssil é o vetor de ataque – a vulnerabilidade do windows – enquanto ransomware é a carga. O vetor de ataque é a forma como a infecção chega até o sistema, e uma vez lá dentro, a carga explode e se dissemina. No caso, essa é a grande novidade, a forma e amplitude da propagação da praga.

Ou seja, uma coisa é fazer a infecção ao enganar o usuário, por meio de um e-mail de phishing, por exemplo. Outra é utilizar como vetor uma vulnerabilidade que envolve execução remota de código – que é o caso da vulnerabilidade explorada.

Dito isso, vamos entrar nos detalhes do episódio do WannaCry.

O ataque

Iniciado na sexta-feira, 12 de maio, o ataque conseguiu se disseminar por 11 países nas primeiras horas do dia. Só na sexta, foram identificadores 45 mil ataques, sendo 2 mil somente no Brasil.

Em 3 dias, o ransomware infectou mais de 250 mil sistemas no mundo em mais de 150 países. Em 5 dias, o número de infecções detectadas passou de 345 mil e acredita-se que 97% dessas máquinas tiveram seus dados criptografados.

Atualmente, o Brasil é o sexto país mais atacado pela praga, segundo dados da Karspesky. Outro dado que corrobora essa informação é do Shodan, uma espécie de motor de busca que permite aos usuários procurarem por dispositivos conectados à Internet. Nele, é apontado mais de 45 mil sistemas com SMBv1 (Server Message Block 1.0) expostos na Internet, sendo o Brasil o sexto.

O SMBv1 é justamente a vulnerabilidade explorada pelo vetor de ataque, mas falaremos disso mais adiante.

Não se sabe ainda quem foi o paciente zero, mas o primeiro caso do WannaCry que ganhou repercussão na mídia foi quando alguns funcionários da Teléfonica comunicaram a infecção na empresa se comunicou oficialmente algum tempo depois. Seus executivos afirmaram que dentro da sua rede a infecção começou através de máquinas externas de funcionários, conectadas via VPN.

Logo em seguida, no Reino Unido, a NHS – National Health Service – notificou do ataque. A rede contempla cerca de 90% dos computadores com Windows XP.

No Brasil, a imprensa reportou diversas organizações afetadas: Petrobras, INSS, Hospital Sírio Libanês e vários Tribunais. No entanto, mesmo os que não foram atacados, como o Tribunal de Justiça de São Paulo, o Tribunal Regional do Trabalho de São Paulo e o Ministério Público do Estado de São Paulo, a medida de contenção foi desligar os servidores.

Isso quer dizer que retiraram seus sites do ar como forma de prevenir um possível incidente. Mas cabe ressaltar que não foram entidades quaisquer que tiveram o site fora do ar e que podem vir a ter algum prejuízo financeiro por conta disso, por exemplo, mas sim de um serviço público do funcionamento do poder judiciário e que sendo desligado traz um prejuízo muito grande na sociedade.

Não buscaram informação adequada para tomar a decisão, foram tomados pelo medo e assim decidiram. Isso traz à tona um dos pilares da segurança da informação que é a disponibilidade. Mais uma evidência que reforça a baixa de maturidade em segurança da informação no Brasil.

Afinal, e o resgate? Quanto foi arrecadado?

Apesar da grandeza em escala do ataque, o valor pedido pelo resgate foi muito aquém do esperado. O pedido inicial era de 300 dólares, pagos em bitcoin, e escalando para 600 dólares após 3 dias de infecção.

Após uma semana, os dados seriam apagados. Pode-se perceber que os envolvidos detinham conhecimento em técnicas para despertar senso de urgência nos afetados. Bem profissional, não?

Curiosidade: na tela do resgate, a mensagem do WannaCry contemplava 28 idiomas diferentes, apesar de terem nitidamente usado o tradutor automático.

Apesar de toda a distribuição, o lucro registrado até então foi muito baixo. Todas as movimentações de bitcoin são públicas, por meio do sistema de blockchain, sendo 3 carteiras monitoradas. Até o momento, 17 de maio, foram identificados mais de 300 pagamentos realizados totalizando um rendimento de 112 mil dólares.

Você pode conferir o resultado mais atualizando clicando aqui ou na imagem abaixo.

Como a infecção acontece?

De dois modos: worm e o ransomware.

Ainda não há evidências suficiente para dizer por onde o ataque começou – phishing, ataque web, etc. O que se sabe nesse caso é que a disseminação do malware aconteceu através de redes de botnet que realizavam varreduras em ranges de IP da Internet e testavam se aquele sistema estava vulnerável ao SMBv1.

Uma vez que uma máquina dentro de uma rede corporativa é infectada, a infecção vai facilmente sendo disseminada para todas as outras máquinas conectadas em rede. A vulnerabilidade do SMBv1 permite o chamado RCE, a execução remota de código, permitindo com que seja feito o que quiser nas máquinas alvo. Neste caso, escolheram instalar o ransomware.

O vetor depende do protocolo SMBv1 rodando, porta 445. As máquinas que não precisam estar com o compartilhamento de rede ativo, poderiam estar com esse serviço desativado. Isso passa por um processo de hardening no Sistema Operacional, isto é, instala-se o SO e desativa-se os serviços que não serão utilizados.

Esse foi o primeiro erro: deixar ativo os serviços que não serão demandados, tornando uma máquina possivelmente vulnerável sem nem que se haja necessidade por aquele determinado serviço.

Outro gap identificado foi na rede interna: as máquinas que precisam do serviço de compartilhamento de rede, mas que podem ter esse acesso limitado a esse serviço. Para esse caso, poderia ser utilizado um firewall na rede interna, limitando a comunicação com os servidores por meio de uma segmentação da rede interna.

Outra boa prática de segurança seria segmentar os próprios servidores nas redes internas, com níveis de segurança diferentes. Por fim, mas não menos importante, não há razão para usar o compartilhamento de arquivos nativo do Windows, o SMB, direto na Internet. Ou seja, não deveria ter máquinas com essa porta acessível na Internet.

É possível fazer decrypt dos arquivos?

Sim, mas apenas para máquinas com Windows XP, até o presente momento. Para os demais Sistemas Operacionais, os arquivos que foram cifrados não podem ser recuperados dado que WannaCry usa criptografia AES-128 combinada com RSA-2048.

Advanced Encryption Standard (AES) é uma cifra de bloco adotada como padrão de criptografia pelo governo dos Estados Unidos e que hoje se tornou um dos algoritmos mais populares usados para criptografia de chave simétrica.

Enquanto o RSA deve o seu nome a três professores do Instituto de Tecnologia de Massachusetts (MIT), Ronald Rivest, Adi Shamir e Leonard Adleman, fundadores da RSA e que inventaram esse algoritmo, a mais bem sucedida implementação de sistemas de chaves assimétricas.

É considerado dos mais seguros, já que todas as tentativas de o quebrar caíram por terra. Foi também o primeiro algoritmo a possibilitar criptografia e assinatura digital, e uma das grandes inovações em criptografia de chave pública.

Resumindo: quando se trata do ransomware, pouco pode ser feito depois que o malware já criptografou os arquivos. Quando isso acontece, você pode pagar o resgate ou restaurar os arquivos com um backup se você tiver um (tenha um).

E tem um detalhe…

Mesmo que você pague, ainda existe a chance do cibercriminoso não cumprir com a palavra. Afinal, você reclamaria para quem a respeito? E nesse caso, você acaba sem os seus dados e sem o dinheiro.

Uma pitada de sorte: descobrindo o killswitch

Uma prática comum nas infecções de malware é a inserção de um killswitch no código da ameaça. Ou seja, o cibercriminoso coloca um comando para abortar o projeto, na maioria das vezes é um comando enviado através do C&C – Command & Control – do malware.

No caso do WannaCry, havia um domínio que, durante o processo de infecção, o malware tentava acessar. Como o domínio não estava registrado, o malware continuava o processo normalmente.

O primeiro que se deu conta disso foi um pesquisador inglês que registrou o domínio. Ou seja, a propagação do ataque foi interrompida quando @malwaretechblog, com a ajuda de Darien Huss da empresa de segurança Proofpoint, encontrou e inadvertidamente ativou um killswitch no software mal-intencionado.

A partir do momento que o domínio fica ativo, as infecções diminuem drasticamente. Isso foi na própria sexta-feira. No sábado, 13 de maio, um pesquisador francês, Matthieu Suiche, encontrou uma outra variante do WannaCry que tinha um segundo domínio usado como killswitch. Portanto, ele registrou o novo domínio, impedindo mais de 10 mil infecções.

O que passou despercebido por muitos

Um ponto que não parece estar tendo a devida cobertura midiática é o EternalBlue, a vulnerabilidade que explorava o SMBv1 fazia parte de uma coleção de ferramentas de hacking roubadas pelo The Shadow Brokers em 2016.

A ferramenta EternalBlue, no entanto, foi desenvolvida pelo grupo de hackers denominado Equation Group para explorar o SO Windows XP em 2013. Supostamente, esse grupo trabalha para a NSA com o intuito de espionar outros governos.

Afinal, por que a NSA detinha essa informação?

Pelo que se sabe, a Agência de Segurança Nacional Americana coleta e compra vulnerabilidades e as mantém em segredo para utilizar como backdoor em equipamentos de seu interesse. Isto mesmo, a NSA mantém as vulnerabilidades em segredo pelo tempo que for possível.

Mas voltando ao caso do WannaCry, o que se sabe do Shadow Group foi que o grupo veio a público em outubro/2016 pedindo um bilhão de dólares, em bitcoin, em uma espécie de financiamento coletivo na DeepWeb. Recebendo o valor, iriam tornar público ferramentas de hacking que tinham sido roubadas da NSA. Entretanto, sem sucesso na captação do valor, em janeiro, o grupo publicou screenshots dos conteúdos que tinham em mãos, alertando o mundo do potencial perigo.

Em um artigo publicado pelo The Washington Post com oficiais do governo americano falando em condição de anonimato, foi dito que naquele exato momento (da divulgação das screenshots) a NSA se deu conta de que o conteúdo que Shadow Brokers tinha era muito sensível.

O conteúdo se tratava do EternalBlue e do DoublePulse, dois exploits muito poderosos para explorar sistemas operacionais Microsoft. A partir disso, a NSA percebeu que perdeu controle do que tinham e acabaram avisando a Microsoft. No entanto, a correção só saiu no dia 14 de março, o MS17-010. Importante ressaltar que o exploit veio a público pelo grupo hacker um mês depois, dia 14 de abril.

Dois dias depois do incidente, 14 de maio, Brad Smith, Presidente da Microsoft, publicou um artigo no blog da empresa com enormes críticas às agências de inteligência americana e ao governo americano por estarem estocando zero-days e, mais do que isso, de estarem deixando vazar, permitindo incidentes como esse do WannaCry.

Na visão de muitos, esse teria sido um comportamento egoísta e para uma finalidade muito duvidosa por parte da NSA. Até mesmo Snowden se pronunciou a respeito do caso

Se a NSA tivesse revelado privadamente a falha usada para atacar os hospitais quando a encontraram, e não quando a perderam, isso poderia não ter acontecido” – Edward Snowden

Mas antes do episódio ganhar tamanha notoriedade por causa do WannaCry, já haviam registros de malwares que exploraram justamente essa vulnerabilidade.

Adylkuzz, por exemplo, é um malware que infectava servidores para torná-los mineradores de uma criptomoeda, a Monero. A Proofpoint foi a primeira empresa a identificar o caso através de um artigo no seu blog confirmando o rendimento total do esquema em 43 mil dólares distribuídos entre três carteiras de XMR.

Também foi relatado um outro caso de malware que explorou a mesma vulnerabilidade, no Peru, anteriormente ao WannaCry – O Trojan.Win32.CryptoFF. Porém não há muitas informações a respeito.

Soluções simples para problemas complexos

Ainda que a Microsoft tenha disponibilizado a atualização em março, geralmente os ambientes corporativos não realizam a atualização imediata dos seus ambientes.

Por isso a importância do Patch Management como uma resolução simples a respeito de um problema do tamanho do WannaCry. Ou seja, bastava ter um gerenciador centralizado de patch, combinado com um processo maduro de gestão da ferramenta, que a propagação do ransomware via protocolo SMB jamais teria acontecido nas empresas.

Nesse caso, foi erro de processo e de tecnologia, o que vai de encontro a uma das premissas mais atestadas no universo de segurança da informação de que o usuário é o elo mais fraco da corrente.

Isso justifica o porquê de os atacantes estarem aumentando significativamente o alvo em usuários finais, uma vez que falta de conhecimento e educação necessária em relação às boas práticas de segurança abrem diversas brechas para os hackers adentrarem no ambiente das organizações.

As vulnerabilidades podem aparecer em quase qualquer tipo de software, mas o alvo mais atraente para atacantes são os softwares populares, amplamente utilizados.

A maioria dessas vulnerabilidades são descobertas em softwares como Internet Explorer e o Adobe Flash, que são usados diariamente por um grande número de consumidores e profissionais. Quatro das cinco vulnerabilidades zero-day mais exploradas em 2015 foram do Adobe Flash, por exemplo.

Exploits estão direcionando cada vez mais o alvo para tecnologias de usuários finais, isso porque eles podem permitir que os invasores instalem softwares mal-intencionados em dispositivos vulneráveis. Uma vez descobertos, os zero-days são rapidamente adicionados aos kits de ferramentas dos cibercriminosos e explorados.

Dados do ISTR 2016 da Symantec

Nesse ponto, milhões serão atacados e centenas de milhares serão infectados se um patch não estiver disponível ou se as pessoas/empresas não se moverem rápido o suficiente para aplicar o patch.

Por fim, o que acha de assistir nosso vídeo compilando a história por trás do WannaCry?

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

PRODUÇÃO DE CONTEÚDO

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *