WannaCry

O WannaCry foi um ataque global de ransomware em maio de 2017. Ele ainda é uma ameaça? Continue lendo para saber mais.

.st0{fill:#0D3ECC;} FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e For Business

Hoje em dia, é difícil ignorar os ataques de ransomware. De acordo com o Internet Crime Report do FBI, as reclamações locais sobre essas ameaças aumentaram 20% em 2020. Globalmente, os ataques aumentaram em mais de 60% entre 2019 e 2020. Os ataques de ransomware não estão apenas aumentando, mas também estão se tornando mais proeminentes.

Não deixe que o ransomware assuma o controle de seu dispositivo

Certifique-se de que seu dispositivo esteja protegido contra ransomware.
Experimente o Malwarebytes Premium gratuitamente por 14 dias.

SAIBA MAIS

De oleodutos e hospitais a escolas, bancos e instituições de caridade, parece que nenhuma organização está imune a ataques de ransomware. Não são apenas as grandes empresas que sofrem com essas violações de segurança cibernética. As pequenas empresas também são alvos de ransomware e podem ter mais dificuldade para sobreviver, pois geralmente têm menos recursos do que as grandes empresas para se recuperar.

Embora o ataque global do WannaCry tenha ocorrido em 2017, muitos outros tipos de ransomware surgiram nos anos seguintes. Vamos dar uma olhada no WannaCry e por que ele foi um incidente cibernético tão significativo. 

O que foi o ataque do ransomware WannaCry? 

"Ooops, seus arquivos foram criptografados!"

Em maio de 2017, o ransomware WannaCry se espalhou globalmente por meio de computadores que executavam o Windows. Quase dois meses antes, a Microsoft havia lançado um patch de segurança para o EternalBlue, o exploit que os atacantes usaram para propagar o ransomware WannaCry. No entanto, muitos usuários do Windows em todo o mundo não haviam atualizado seu software ou estavam usando versões desatualizadas do Windows e, portanto, estavam vulneráveis ao ataque em larga escala. 

Os atacantes do WannaCry criptografaram Windows computadores em todo o mundo e exigiram um resgate de, inicialmente, US$ 300 em Bitcoin e, posteriormente, US$ 600. Ele infectou cerca de 230.000 computadores em 150 países em apenas algumas horas. Depois de se espalhar rapidamente por todo o mundo, o pesquisador de segurança Marcus Hutchins descobriu um kill switch que diminuiu significativamente a propagação do ataque. 

Mapa de calor da infecção pelo ransomware WannaCry

Por que o WannaCry foi tão bem-sucedido?

Ransomwares como o WannaCry normalmente funcionam criptografando seus arquivos ou bloqueando seu sistema. Em seguida, ele exige o pagamento na forma de uma criptomoeda, como o Bitcoin, porque essas moedas são mais complexas de rastrear do que transferências eletrônicas de dinheiro, cheques ou dinheiro vivo. No entanto, o WannaCry tem algumas características que o tornam diferente de um ataque de ransomware típico sobre o qual você lê hoje.

Os cibercriminosos geralmente usam cepas puras de ransomware para ataques direcionados. Pense nisso como um arco e flecha em vez de uma catapulta. O primeiro é melhor para atingir um alvo de cada vez, enquanto o segundo é melhor para atingir vários alvos. Por exemplo, o malware e a gangue criminosa por trás do ataque do ransomware Colonial Pipeline aparentemente se concentraram em apenas um alvo. Para plantar o ransomware DarkSide, a quadrilha aparentemente se aproveitou de uma senha conhecida de uma conta de VPN (Virtual Private Network) antiga.

Por outro lado, o WannaCry foi mais uma catapulta. Ele fez jus ao seu nome, infectando centenas de milhares de computadores em mais de 150 países em apenas algumas horas. Ele não fez prisioneiros, atingindo rapidamente todos os tipos de sistemas por meio de redes comerciais. Então, por que a disseminação do ransomworm WannaCry foi tão ampla e bem-sucedida?

1. Componente do worm

Um worm é um tipo de malware que pode excluir arquivos, consumir largura de banda e se espalhar rapidamente sem precisar de um arquivo host. Ele se autopropaga, o que significa que, ao contrário de um vírus, não precisa de ativação humana para iniciar sua atividade mal-intencionada. Além disso, os worms podem lançar malware como ransomware. O WannaCry atingiu os PCs Windows como um incêndio graças ao seu componente de worm.

2. Explorações

Um exploit é uma vulnerabilidade do sistema não corrigida da qual um criminoso cibernético pode se aproveitar para realizar atividades maliciosas. A falha explorada pelo WannaCry está na forma como o site Windows gerencia o protocolo SMB (Server Message Block). Em resumo, o protocolo SMB permite que os nós da rede se comuniquem. Embora a Microsoft tenha corrigido as vulnerabilidades em 2017, os agentes de ameaças estão usando as vulnerabilidades do SMB até hoje para ataques de Trojan e ransomware porque muitos usuários do Windows não baixam as atualizações.  

Quais setores foram mais afetados pelo WannaCry?

O ataque do WannaCry se espalhou tão rapidamente e infectou tantos computadores em todo o mundo que muitos setores foram afetados. Esses setores incluem: 

  • Assistência médica
  • Emergência
  • Security
  • Logística
  • Telecom
  • Gás
  • Gasolina
  • Automotivo
  • Educação
  • Publicidade

Quantos computadores foram infectados pelo WannaCry?

O WannaCry atingiu um número estimado de 230.000 computadores. O malware afetou as operações de hospitais, serviços de emergência, postos de gasolina e até mesmo fábricas. Algumas estimativas colocam o custo financeiro do ataque na casa dos bilhões.

Quem criou o WannaCry?

Os Estados Unidos culpam oficialmente a Coreia do Norte pelo ataque WannaCry e até indiciaram três norte-coreanos pelo malware e pela invasão da Sony Pictures Entertainment em 2014. É interessante notar que a NSA (National Security Agency) também pode ter desempenhado um papel no ataque WannaCry, embora inadvertidamente.

Supostamente, a NSA descobriu a vulnerabilidade SMB que o WannaCry explora. Posteriormente, essa ferramenta de exploração chamada EternalBlue foi supostamente roubada da organização de inteligência e vazada pelo The Shadow Brokers (TSB), um grupo de hackers.

O WannaCry ainda é uma ameaça?

O WannaCry é uma ameaça menor, em grande parte, graças ao heroísmo de Marcus Hutchins. O pesquisador britânico de segurança de computadores desenvolveu um kill switch usando engenharia reversa e honeypots que impediram que o WannaCry continuasse a ser executado. Além disso, uma equipe de pesquisadores franceses encontrou uma maneira de descriptografar alguns computadores afetados sem pagar um resgate.

No entanto, o WannaCry ainda está ativo. Certifique-se de atualizar seu sistema operacional Windows regularmente para garantir que você tenha os patches de segurança mais recentes. Você também pode contar com a tecnologia antimalware inteligente do Malwarebytespara detectar e remover o Ransom.WannaCrypt de forma proativa.  

O que o WannaCry faz se não for pago?

O WannaCry exige US$ 300 em Bitcoin depois de bloquear um sistema. Posteriormente, ele dobra a taxa de extorsão. Ele também ameaça excluir seus dados permanentemente em três dias. Aqui no Malwarebytes, recomendamos que você não pague a gangues de ransomware, em parte porque isso está incentivando mais gangues de ransomware que buscam uma maneira rápida de enriquecer. Além disso, não há garantia de que você desbloqueará seus arquivos ou seu computador. Por exemplo, nem todas as vítimas do WannaCry recuperaram seus arquivos depois de pagar a taxa, possivelmente devido a uma falha no próprio ransomware.  

Quais são algumas boas estratégias de atenuação de ransomware?

Para os dispositivos que você usa em casa, use um software antivírus/anti-malware que proteja contra todos os tipos de software mal-intencionado, inclusive proteção contra ransomware. Para as empresas, as estratégias para atenuar o ransomware incluem: 

  1. Use um software de segurança cibernética que possa detectar e bloquear ameaças de ransomware. 
  2. Faça backup de seus dados com frequência e faça backups críticos com intervalo de ar.
  3. Segmentar sua rede.
  4. Bloqueie as explorações verificando regularmente se há atualizações de segurança.
  5. Tenha cuidado com os vetores de ameaças de ransomware, como e-mails de phishing.
  6. Defina senhas complexas e altere-as periodicamente.
  7. Proteja seu sistema e contas essenciais com a autenticação de dois fatores.

Malwarebytes anti-ransomware para empresas

Malwarebytes O Endpoint Detection and Response oferece opções de resposta que vão além dos alertas, incluindo o Linking Engine Remediation e a reversão de ransomware.

SAIBA MAIS

Artigos sobre o WannaCry de Malwarebytes Labs