bt0

Blogging about InfoSec

15 May 2017

WANNACRY, O que já se sabe sobre o ataque que alertou o mundo?

by bt0

tags: wannacry - ransonware

Nas rodas de bate-papo sobre Tecnologia não se fala de outra coisa: O apagão do Wannacry. Alguns sempre repetem uma brincadeira que se tornou bordão depois que uns áudios compartilhados no Whatsapp falam que a Sexta-feira é o “dia da maldade”. Bem, se é o dia da maldade não podemos afirmar. Porém, as estatísticas falam que nos fins de semana a quantidade de ataques a sistemas de informação praticamente triplicam, e não foi diferente e pelo menos coincidência que um dos maiores cyber-ataques autônomos a sistemas já registrado foi realizado no último fim de semana. Mas então, o que seria esse tal de Wannacry?

O Wannacry é um Ransonware, um código malicioso que infecta sistemas e que “sequestra” os dados da vítima utilizando criptografia para deixar os dados inacessíveis. Os atacantes então pedem um “resgate” para que a criptografia seja desfeita e os dados sejam devolvidos para a vítima. A forma mais comum de infecção é via e-mail com links maliciosos para sites com o código embutido em alguns tipos de documentos mais conhecidos como: doc, .dot, .tiff, .java, .psd, .docx, .xls, .pps, .txt, ou .mpeg. Vale salientar que o ataque funciona em sistemas Windows desatualizados. E como surgiu o Wannacry?

O Wannacry é uma variante de um malware da família wanna e diversas teorias falam sobre o surgimento na China e até mesmo no Brasil. Noticiários também apontam o vazamento de documentos da NSA (National Security Agency), órgão de Inteligência dos Estados Unidos, que continham informações sobre uma vulnerabilidade em sistemas Windows (Microsoft) e que poderiam ser invadidos facilmente. Após o vazamento dessas informações a empresa de Bill Gates providenciou rapidamente uma atualização no mẽs de Março para os sistemas afetados. O Wannacry então teria aproveitado dessa vulnerabilidade conhecida para atacar sistemas Windows. Quem foi afetado?

A empresa européia Telefônica foi uma das primeiras a admitir a infecção em massa. No Reino Unido a rede de hospitais NHS. Nos Estados Unidos grandes empresas foram infectadas como a FedEX. No Brasil tivemos relatos de infecções na Telefônica/Vivo, em São Paulo, a Petrobras, o Tribunal de Justiça de São Paulo, o Tribunal Regional do Trabalho de São Paulo e o Ministério Público do Estado de São Paulo, que retiraram seus sites do ar. E agora?

No sábado passado foi divulgado por alguns noticiários como o The Guardian e contas de profissionais de Segurança da Informação no twitter que o malware fora bloqueado por um pesquisador que mantêm um blog especializado (malwaretech.com), porém, já avisando que o bloqueio pode ser temporário.

O que fazer para não ser afetado pelo ataque?

  1. Não abrir e-mails ou links desconhecidos (Meio mais comum de infecção)

  2. Mantenha sempre um backup de seus dados em um disco externo

  3. Mantenha seu Sistema Operacional sempre atualizado

  4. Utilize Software legítimo

  5. Mantenha um antivírus confiável atualizado

A Microsoft liberou boletins sobre as vulnerabilidades nos links MS17-015, MS17-012 e MS17-010 e atualizou o Windows Defender com assinaturas do Malware. Em caso de infecção a recomendação é para NUNCA PAGAR o resgate pois isso apenas incentiva a prática e também porque não há garantia de que isso dará acesso à chave prometida pela extorsão. O resgate é pedido na criptomoeda digital Bitcoin e varia entre 300 e 600 dólares, podendo aumentar com o tempo.

Apesar do bloqueio temporário, as autoridades e pesquisadores de Segurança da Informação já estão aguardando novas variantes do malware com correções que consigam explorar a falha mesmo com as medidas utilizadas.

UPDATE:

Novas variantes do Wannacry já estão ativas e não dependems mais de um domínio para funcionar e também sem formas de desativar o ataque.

wannacry

Portanto, caso não tenha feito o seu backup ainda e não tenha atualizado seu Windows, FAÇA! A não ser que queira realmente chorar perdas irrecuperáveis.