WannaCry

O WannaCry foi um ataque global de ransomware em maio de 2017. Continua a ser uma ameaça? Continue a ler para saber mais.

.st0{fill:#0D3ECC;} DESCARREGAR MALWAREBYTES GRATUITAMENTE

Também para Windows, iOS, Android, Chromebook e Para empresas

Atualmente, é difícil ignorar os ataques de ransomware. De acordo com o Internet Crime Report do FBI, as queixas locais sobre este tipo de ameaças aumentaram 20% em 2020. Globalmente, os ataques aumentaram mais de 60% entre 2019 e 2020. Os ataques de ransomware não só estão a aumentar, como também estão a tornar-se mais proeminentes.

Não deixe que o ransomware se apodere do seu dispositivo

Certifique-se de que o seu dispositivo está protegido contra ransomware.
Experimente Malwarebytes Premium gratuitamente durante 14 dias.

SAIBA MAIS

De oleodutos e hospitais a escolas, bancos e instituições de caridade, parece que nenhuma organização está imune a ataques de ransomware. Não são apenas as grandes empresas que sofrem com estas violações de cibersegurança. As pequenas empresas também são alvo de ransomware e podem ter mais dificuldade em sobreviver, uma vez que normalmente têm menos recursos do que as grandes empresas para recuperar.

Embora o ataque global WannaCry tenha ocorrido em 2017, muitos outros tipos de ransomware surgiram nos anos seguintes. Vejamos o WannaCry e porque é que foi um incidente cibernético tão significativo. 

O que foi o ataque de ransomware WannaCry? 

"Ooops, os seus ficheiros foram encriptados!"

Em maio de 2017, o ransomware WannaCry propagou-se globalmente através de computadores com Windows. Quase dois meses antes, a Microsoft tinha lançado um patch de segurança para o EternalBlue, o exploit que os atacantes utilizaram para propagar o ransomware WannaCry. No entanto, muitos utilizadores Windows em todo o mundo não tinham atualizado o seu software ou estavam a utilizar versões desactualizadas do Windows, pelo que estavam vulneráveis ao ataque em grande escala. 

Os atacantes do WannaCry encriptaram computadores Windows em todo o mundo e exigiram um resgate de 300 dólares em Bitcoin e, mais tarde, de 600 dólares. O vírus infectou cerca de 230 000 computadores em 150 países em apenas algumas horas. Depois de se ter espalhado rapidamente por todo o mundo, o investigador de segurança Marcus Hutchins descobriu um kill switch que abrandou significativamente a propagação do ataque. 

Mapa de calor da infeção pelo ransomware WannaCry

Porque é que o WannaCry foi tão bem sucedido?

O ransomware como o WannaCry funciona normalmente encriptando os seus ficheiros ou bloqueando o seu sistema. Em seguida, exige o pagamento sob a forma de uma criptomoeda como o Bitcoin, porque essas moedas são mais complexas de rastrear do que as transferências electrónicas de dinheiro, cheques ou dinheiro vivo. No entanto, o WannaCry tem algumas caraterísticas que o tornam diferente de um ataque de ransomware típico, sobre o qual se lê atualmente.

Os cibercriminosos utilizam normalmente estirpes puras de ransomware para ataques direcionados. Pense nisso como um arco e flecha em vez de uma catapulta. O primeiro é melhor para atingir um alvo de cada vez, enquanto o segundo é melhor para atingir vários alvos. Por exemplo, o malware e o grupo criminoso por detrás do ataque do ransomware Colonial Pipeline aparentemente focavam-se apenas num alvo. Para plantar o ransomware DarkSide, o grupo aparentemente tirou partido de uma palavra-passe conhecida de uma conta de Rede Privada Virtual (VPN) antiga.

Por outro lado, o WannaCry foi mais uma catapulta. Fez jus ao seu nome, infectando centenas de milhares de computadores em mais de 150 países em apenas algumas horas. Não fez prisioneiros, atingindo rapidamente todos os tipos de sistemas através de redes empresariais. Então, porque é que a propagação do ransomworm WannaCry foi tão generalizada e bem sucedida?

1. Componente do verme

Um worm é um tipo de malware que pode eliminar ficheiros, consumir largura de banda e espalhar-se rapidamente sem necessitar de um ficheiro anfitrião. Auto-propaga-se, o que significa que, ao contrário de um vírus, não precisa de ativação humana para iniciar a sua atividade maliciosa. Além disso, os worms podem libertar malware como o ransomware. O WannaCry atingiu os PCs Windows como um incêndio graças ao seu componente de worm.

2. Explorações

Um exploit é uma vulnerabilidade de sistema não corrigida que um cibercriminoso pode aproveitar para realizar actividades maliciosas. A falha que o WannaCry explora está na forma como Windows gere o protocolo SMB (Server Message Block). Em poucas palavras, o protocolo SMB permite que os nós da rede comuniquem. Embora a Microsoft tenha corrigido as vulnerabilidades em 2017, os agentes de ameaças estão a utilizar as vulnerabilidades SMB ainda hoje para ataques de Trojans e ransomware, porque muitos utilizadores Windows não descarregam as actualizações.  

Que sectores foram mais afectados pelo WannaCry?

O ataque WannaCry espalhou-se tão rapidamente e infectou tantos computadores em todo o mundo que muitas indústrias foram afectadas. Estes incluem: 

  • Cuidados de saúde
  • Emergência
  • Segurança
  • Logística
  • Telecomunicações
  • Gás
  • Gasolina
  • Automóvel
  • Educação
  • Publicidade

Quantos computadores foram infectados pelo WannaCry?

O WannaCry afectou cerca de 230 000 computadores. O malware afectou as operações de hospitais, serviços de emergência, estações de serviço e até fábricas. Algumas estimativas apontam para um custo financeiro do ataque na ordem dos milhares de milhões.

Quem criou o WannaCry?

Os Estados Unidos culpam oficialmente a Coreia do Norte pelo ataque WannaCry, e até indiciaram três norte-coreanos pelo malware e pelo hack da Sony Pictures Entertainment em 2014. Curiosamente, a NSA (National Security Agency) pode também ter desempenhado um papel no ataque WannaCry, ainda que inadvertidamente.

Alegadamente, a NSA descobriu a vulnerabilidade SMB que o WannaCry explora. Mais tarde, a chamada ferramenta de exploração EternalBlue foi alegadamente roubada da organização de inteligência e divulgada pelo The Shadow Brokers (TSB), um grupo de hackers.

O WannaCry ainda é uma ameaça?

O WannaCry é uma ameaça menor, em grande parte, graças ao heroísmo de Marcus Hutchins. O investigador britânico de segurança informática desenvolveu um kill switch utilizando engenharia inversa e honeypots que impediu a continuação da execução do WannaCry. Além disso, uma equipa de investigadores franceses encontrou uma forma de desencriptar alguns computadores afectados sem pagar um resgate.

No entanto, o WannaCry ainda está ativo. Certifique-se de que atualiza o seu sistema operativo Windows regularmente para garantir que tem os patches de segurança mais recentes. Você também pode confiar na tecnologia anti-malware inteligente do Malwarebytespara detetar e remover o Ransom.WannaCrypt de forma proativa.  

O que é que o WannaCry faz se não for pago?

O WannaCry exige 300 dólares em Bitcoin depois de bloquear um sistema. Mais tarde, duplica a taxa de extorsão. Ameaça também apagar os seus dados permanentemente no prazo de três dias. Aqui no Malwarebytes, recomendamos que não pague a gangues de ransomware, em parte porque isso está a encorajar mais gangues de ransomware à procura de uma forma rápida de enriquecer. Além disso, não há garantia de que irá desbloquear os seus ficheiros ou o seu computador. Por exemplo, nem todas as vítimas do WannaCry recuperaram os seus ficheiros depois de pagarem a taxa, possivelmente devido a uma falha no próprio ransomware.  

Quais são algumas boas estratégias de atenuação do ransomware?

Para os dispositivos que utiliza em casa, utilize software antivírus/anti-malware que defenda contra todos os tipos de software malicioso, incluindo proteção contra ransomware. Para as empresas, as estratégias para mitigar o ransomware incluem: 

  1. Utilizar software de cibersegurança que possa detetar e bloquear ameaças de ransomware. 
  2. Efectue cópias de segurança dos seus dados com frequência e faça um intervalo de ar entre as cópias de segurança críticas.
  3. Segmentar a sua rede.
  4. Elimine as explorações verificando regularmente as actualizações de segurança.
  5. Tenha cuidado com os vectores de ameaça de ransomware, como os e-mails de phishing.
  6. Defina palavras-passe complexas e altere-as periodicamente.
  7. Proteja o seu sistema e contas essenciais com a autenticação de dois factores.

Malwarebytes anti-ransomware para empresas

Malwarebytes Endpoint Detection and Response oferece opções de resposta que vão além dos alertas, incluindo o Linking Engine Remediation e o Ransomware Rollback.

SAIBA MAIS

Artigos sobre o WannaCry do Malwarebytes Labs