O ataque WannaCry: decodificando sua anatomia

O ataque de ransomware WannaCry foi um ataque cibernético global em maio de 2017 que afetou mais de 150 países em menos de 24 horas e custou bilhões de dólares. O Serviço Nacional de Saúde do Reino Unido foi uma das maiores organizações a serem atingidas.

O ransomware WannaCry se espalhou por computadores com o Microsoft Windows como sistema operacional, criptografando dados e exigindo pagamentos de resgate no valor de US$ 300 ou US$ 600 em bitcoin.

Esse ataque tem vários componentes. Principalmente, ele contém um conta-gotas, que é um programa de software independente que extrai os outros componentes incorporados de si mesmo. Esses outros componentes são:

  • Um aplicativo para criptografar e descriptografar arquivos e informações.

  • Uma cópia do Tor, que é um software de código aberto que facilita a comunicação anônima.

  • Arquivos que possuem chaves de criptografia para descriptografar os dados assim que o pagamento for feito.

O WannaCry se espalhou usando o EternalBlue, um exploit que foi descoberto pela Agência de Segurança Nacional (NSA) e posteriormente roubado e vazado publicamente por um grupo de hackers chamado Shadow Brokers. A EternalBlue aproveitou uma vulnerabilidade no protocolo SMB (Server Message Block) do Windows. SMBv1 é um protocolo de comunicação de rede desenvolvido em 1983. Este protocolo permite que um computador Windows se comunique com outro e compartilhe arquivos e impressoras em uma rede local. No entanto, o SMBv1 tinha uma vulnerabilidade crítica que permitia uma execução remota de código (RCE) em que um invasor podia executar qualquer código no computador da vítima.

Os invasores WannaCry instalaram a ferramenta de backdoor da NSA, DoublePulsar, para criar um backdoor, que é um ponto de entrada em um sistema ou rede de sistemas que permite aos invasores obter acesso fácil posteriormente. Esse backdoor foi usado para entregar a carga útil do ransomware WannaCry. Usando o exploit EternalBlue, o ransomware se espalhou ainda mais para todos os outros sistemas de computador não corrigidos na rede. O recurso semelhante a um worm desse ransomware ajudou os invasores a realizar um RCE e espalhar o ransomware por outros sistemas.

Quando um sistema é infectado pelo WannaCry, ele tenta se conectar a um domínio não registrado. Se não for capaz de estabelecer a conexão, o dano começa a ocorrer. Ele começa a procurar a porta na rede que o SMBv1 usa, a porta 445, e se a porta estiver aberta, o WannaCry se espalha para esse computador.

O dano acontece em duas partes:

  • A carga do ransomware criptografa os arquivos no sistema da vítima.

  • O componente semelhante a um worm espalha ransomware para qualquer dispositivo vulnerável conectado na rede.

Os invasores do WannaCry também criaram um kill switch dentro do ransomware. Dentro do malware havia um domínio da web codificado, inexistente e sem sentido que agia como o interruptor de interrupção. O malware verificou se este URL estava ativo quando foi executado. Se o WannaCry não conseguisse acessar o URL, ele prosseguiria com o ataque e infectaria o sistema.

Marcus Hutchins, também conhecido como MalwareTech, um pesquisador de segurança britânico, descobriu que ao registrar o domínio da web e postar uma página nele, o kill switch seria ativado. Ele pagou US$ 10,96 para registrar o domínio e criar um site lá, impedindo assim a disseminação do malware.

No entanto, devido ao cenário de ameaças em constante evolução e ao grande número de sistemas sem patches e desprotegidos no mundo, o WannaCry ainda representa uma ameaça. Este ataque é um alarme alertando a sociedade para tomar medidas de segurança cibernética eficazes e eficientes.

Se você quiser saber mais sobre cibersegurança ou se informar sobre os produtos que podem garantir e proteger as informações de sua empresa, acompanhe sempre nosso blog e se inscreva na nossa newsletter!Esse artigo foi traduzido do nosso SIEM Expert Talks, e escrito originalmente por Kritika Sharma.