WannaCry

WannaCry foi um ataque global de ransomware em maio de 2017. Ainda é uma ameaça? Continue lendo para saber mais.

.st0{fill:#0D3ECC;} FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e Para Empresas

É difícil ignorar os ataques de ransomware hoje em dia. De acordo com o Relatório de Crimes na Internet do FBI, as queixas locais sobre essas ameaças aumentaram 20% em 2020. Globalmente, os ataques aumentaram mais de 60% entre 2019 e 2020. Os ataques de ransomware não estão apenas aumentando, mas também se tornando mais proeminentes.

Não deixe o ransomware dominar seu dispositivo.

Certifique-se de que seu dispositivo está protegido contra ransomware.
Experimente o Malwarebytes Premium gratuitamente por 14 dias.

SAIBA MAIS

De oleodutos e hospitais a escolas, bancos e instituições de caridade, parece que nenhuma organização está imune aos ataques de ransomware. Não são apenas as grandes empresas que sofrem com essas violações de segurança cibernética. Pequenas empresas também são alvos de ransomware e podem ter mais dificuldade para sobreviver, já que geralmente têm menos recursos para se recuperar.

Embora o ataque global WannaCry tenha ocorrido em 2017, muitos outros tipos de ransomware surgiram nos anos seguintes. Vamos dar uma olhada no WannaCry e por que ele foi um incidente cibernético tão significativo. 

O que foi o ataque de ransomware WannaCry? 

"Ooops, seus arquivos foram criptografados!"

Em maio de 2017, o ransomware WannaCry se espalhou globalmente através de computadores que executavam Windows. Quase dois meses antes, a Microsoft havia lançado um patch de segurança para o EternalBlue, o exploit que os atacantes usaram para propagar o ransomware WannaCry. No entanto, muitos usuários do Windows ao redor do mundo não atualizaram seus softwares ou usavam versões desatualizadas do Windows, e assim estavam vulneráveis ao ataque em grande escala. 

Os atacantes do WannaCry criptografaram computadores Windows em todo o mundo e exigiram um resgate de inicialmente $300 em Bitcoin, depois $600. Infectou uma estimativa de 230.000 computadores em 150 países em apenas algumas horas. Após se espalhar rapidamente por todo o globo, o pesquisador de segurança Marcus Hutchins descobriu um kill switch que desacelerou significativamente a propagação do ataque. 

Mapa de calor da infecção pelo ransomware WannaCry

Por que o WannaCry foi tão bem-sucedido?

Ransomware como o WannaCry normalmente funciona criptografando seus arquivos ou bloqueando seu sistema. Ele então exige pagamento em forma de criptomoeda como Bitcoin, pois tais moedas são mais complexas de rastrear do que transferências eletrônicas de dinheiro, cheques ou dinheiro vivo. No entanto, o WannaCry tem algumas características que o diferenciam de um típico ataque de ransomware que você lê hoje em dia.

Cybergangs geralmente usam cepas puras de ransomware para ataques direcionados. Pense nisso como um arco e flecha em vez de uma catapulta. O primeiro é melhor para acertar um alvo por vez, enquanto o último é melhor para atingir múltiplos alvos. Por exemplo, o malware e a gangue criminosa por trás do ataque de ransomware da Colonial Pipeline aparentemente se concentraram em apenas um alvo. Para implantar o ransomware DarkSide, a gangue aparentemente se aproveitou de uma senha conhecida para uma conta legada da Rede Virtual Privada (VPN).

Por outro lado, o WannaCry era mais uma catapulta. Ele honrou seu nome ao infectar centenas de milhares de computadores em mais de 150 países em apenas algumas horas. Não poupou ninguém, atingindo rapidamente todos os tipos de sistemas através das redes empresariais. Então, por que a disseminação do ransomworm WannaCry foi tão ampla e bem-sucedida?

1. Componente do worm

Um worm é um tipo de malware que pode excluir arquivos, consumir largura de banda e se espalhar rapidamente sem precisar de um arquivo hospedeiro. Ele se autopropaga, o que significa que, ao contrário de um vírus, não precisa de ativação humana para iniciar sua atividade maliciosa. Além disso, worms podem soltar malwares como ransomware. O WannaCry atingiu PCs Windows como uma tempestade graças ao seu componente worm.

2. Explorações

Um exploit é uma vulnerabilidade do sistema não corrigida que um cibercriminoso pode aproveitar para atividades maliciosas. A falha que o WannaCry explora está em como o Windows gerencia o protocolo SMB (Server Message Block). Em resumo, o protocolo SMB permite a comunicação entre nós de rede. Embora a Microsoft tenha corrigido as vulnerabilidades em 2017, agentes de ameaça estão usando vulnerabilidades SMB até hoje para ataques de Trojan e ransomware porque muitos usuários do Windows não baixam atualizações.  

Quais setores foram mais afetados pelo WannaCry?

O ataque WannaCry se espalhou tão rapidamente e infectou tantos computadores mundialmente que muitas indústrias foram afetadas. Estas incluem: 

  • Assistência médica
  • Emergência
  • Segurança
  • Logística
  • Telecom
  • Gás
  • Petróleo
  • Automotivo
  • Educação
  • Publicidade

Quantos computadores o WannaCry infectou?

O WannaCry atingiu cerca de 230.000 computadores. O malware afetou as operações de hospitais, serviços de emergência, postos de gasolina e até fábricas. Algumas estimativas colocam o custo financeiro do ataque na casa dos bilhões.

Quem criou o WannaCry?

Os Estados Unidos culpam oficialmente a Coreia do Norte pelo ataque WannaCry, e até mesmo indiciaram três norte-coreanos pelo malware e pelo hack da Sony Pictures Entertainment em 2014. Curiosamente, a NSA (Agência de Segurança Nacional) pode ter desempenhado um papel no ataque WannaCry, embora de forma não intencional.

Alegadamente, a NSA descobriu a vulnerabilidade SMB que o WannaCry explora. Posteriormente, essa chamada ferramenta de exploração EternalBlue foi supostamente roubada da organização de inteligência e vazada pelo The Shadow Brokers (TSB), um grupo de hackers.

O WannaCry ainda é uma ameaça?

O WannaCry é menos uma ameaça em grande parte, graças aos heroísmos de Marcus Hutchins. O pesquisador de segurança de computadores britânico desenvolveu um kill switch usando engenharia reversa e honeypots que impediram a execução do WannaCry. Além disso, uma equipe de pesquisadores franceses encontrou uma maneira de descriptografar alguns computadores afetados sem pagar o resgate.

No entanto, o WannaCry ainda está ativo. Certifique-se de atualizar regularmente o sistema operacional Windows para garantir que você tenha os patches de segurança mais recentes. Você também pode confiar na tecnologia inteligente anti-malware da Malwarebytes para detectar e remover proativamente o Ransom.WannaCrypt.  

O que acontece se não pagarmos o WannaCry?

O WannaCry exige $300 em Bitcoin após bloquear um sistema. Depois, dobra a taxa de extorsão. Ele também ameaça deletar seus dados permanentemente em três dias. Aqui no Malwarebytes, recomendamos que você não pague às gangues de ransomware, em parte porque isso encoraja mais gangues a buscar um jeito rápido de enriquecer. Além disso, não há garantia de que você desbloqueie seus arquivos ou seu computador. Por exemplo, nem todas as vítimas do WannaCry recuperaram seus arquivos após pagar a taxa, possivelmente devido a uma falha no próprio ransomware.  

Quais são algumas boas estratégias de mitigação contra ransomware?

Para os dispositivos que você usa em casa, use um software antivírus/antimalware que defenda contra todos os tipos de software malicioso, incluindo proteção contra ransomware. Para empresas, estratégias para mitigar ransomware incluem: 

  1. Use software de segurança cibernética que possa detectar e bloquear ameaças de ransomware. 
  2. Faça backup dos seus dados frequentemente e isole seus backups críticos.
  3. Segmente sua rede.
  4. Corrija explorações verificando regularmente atualizações de segurança.
  5. Tenha cuidado com vetores de ameaça de ransomware, como emails de phishing.
  6. Defina senhas complexas e altere-as periodicamente.
  7. Proteja seu sistema e contas essenciais com autenticação de dois fatores.

Malwarebytes anti-ransomware para empresas

O Malwarebytes Endpoint Detection and Response oferece opções além de simples alertas, incluindo Remediação com o Motor de Ligação Proprietário e Ransomware Rollback.

SAIBA MAIS

Artigos sobre WannaCry do Malwarebytes Labs