Usando uma exploração conhecida para infectar sistemas antigos, o worm de ransomware, WannaCry, continua sendo um estudo de catástrofes evitáveis
Há três anos, WannaCry, um dos worms de ransomware mais agressivos de que se tem registro até hoje, ficou conhecido por comprometer rapidamente centenas de milhares de computadores e servidores desatualizados e sem patches, criptografando dados nos sistemas e desativando as operações das organizações afetadas.
A lista de vítimas variava de hospitais do Serviço Nacional de Saúde, no Reino Unido, fábricas de automóveis da Renault-Nissan, na França, e operações de transporte da FedEx, nos Estados Unidos. O custo de limpeza dos danos causados pelo WannaCry e a interrupção dos negócios superaram 8 bilhões de dólares, de acordo com estimativas.
O ataque chocou as empresas devido à velocidade com que se espalhava e aos seus efeitos destruidores.
"Foi a primeira vez que armas cibernéticas foram usadas contra o grande público", diz Craig Williams, diretor de extensão do grupo de pesquisa de segurança cibernética da CISCO. "Antes disso, havia worms, mas eles eram destrutivos porque eram auto-replicáveis e não chegavam nem perto de causar um estrago desse tamanho. Mesmo com amplo aviso sobre as vulnerabilidades [que acabaram potencializado os danos do ransomware], muitas pessoas não se preocuparam em corrigi-las e outras sequer tinham proteções."
O alerta do WannaCry para as empresas
Se o WannaCry nos deixou uma lição, é a seguinte: empresas que usam sistemas desatualizados, e não corrigem rigorosamente esses sistemas, correm riscos, não apenas de violações de dados, mas de ataques de ransomware que podem atrapalhar definitivamente as operações. .
Infelizmente, muitas empresas continuam ignorando essas lições e ainda estão usando software desatualizado e vulnerável a ataques destrutivos.
Jacob Noffke, principal engenheiro cibernético da Raytheon Intelligence & Space, em comunicado enviado à Dark Reading, declara:
"Muitos fizeram upgrade de seus sistemas operacionais mais antigos, isolaram melhor os sistemas sem patch usando firewalls e têm soluções de backup sólidas para minimizar o impacto e as chances de que o ransomware cause estragos em suas redes no futuro. Mas, infelizmente, nem todas as organizações fizeram o dever de casa – e, à medida que os ataques de ransomware continuam a evoluir, aqueles com defesas mais fracas serão o principal alvo de cibercriminosos que desejam capitalizar em ataques inspirados no WannaCry".
O WannaCry apareceu em 12 de maio de 2017, se espalhando rapidamente para mais de 200.000 sistemas Windows em 150 países em todo o mundo.
O ransomware se espalhou como um worm, usando a auto-propagação por meio de uma exploração remota tornada pública dois meses antes. A exploração, uma ex-arma cibernética criada pela Agência de Segurança Nacional e vazada pelo grupo de hackers Shadow Brokers, pode comprometer facilmente os sistemas que executam versões mais antigas do Microsoft Windows, como Windows XP, Windows 7, Windows Server 2003 e Windows Server 2008.
Em quatro dias, o ataque se espalhou para mais de 300.000 sistemas, segundo estimativas da época. Mais de 95% de todas as máquinas infectadas executaram versões sem patch do Windows 7 porque o WannaCry não atacou os sistemas Windows XP corretamente.
O ataque ao WannaCry, no entanto, ficou aquém do seu potencial de causar danos por causa dos esforços de Marcus Hutchins, um pesquisador de segurança cibernética – mais tarde revelado um ex-escritor de malware – que identificou um "botão de interrupção" no programa que poderia ser usado para parar o ataque.
O que aprendemos com o WannaCry?
Além de não usar sistemas desatualizados e sem patches, o WannaCry deixou ao setor de cibersegurança várias outras lições importantes:
O (ultra)passado nos assombra
O WannaCry deixou claro para as empresas que manter um software antigo conectado à Internet, sem as defesas apropriadas, é uma péssima ideia.
No entanto, correções provisórias continuam iludindo muitas empresas, e os sistemas antigos parecem sobreviver muito além de suas datas de vencimento.
Para se ter uma ideia, ainda hoje, mais de 600.000 computadores ainda expõem a porta de compartilhamento de arquivos SMB à Internet – uma configuração arriscada – e muitos deles podem estar na mira para novos ataques com a exploração EternalBlue usada pelo WannaCry.
Os invasores continuam procurando essa vulnerabilidade, com pelo menos 100 fontes diferentes ainda atrás de instâncias de compartilhamento de arquivos SMB vulneráveis à exploração, de acordo com dados coletados pela empresa de gerenciamento de vulnerabilidades Rapid7.
Worms podem afetar drasticamente as operações de qualquer empresa
O WannaCry também demonstrou como o ransomware pode prejudicar negócios e operações de empresas, causando entre milhões e bilhões em perdas que poderiam ter sido evitadas mais facilmente.
"Essas ameaças nunca desaparecem", reforça Williams, da CISCO. "No entanto, como muita atenção foi dada a esses ataques, a Internet mudou para sempre para melhor como resultado”.
Mas isso não significa que estamos mais preparados hoje.
Até que as empresas possam descobrir seu sistema crítico e corrigi-lo rapidamente, os negócios permanecem vulneráveis a outro ataque.
A atribuição ainda é um desafio
Eventualmente, as agências de inteligência de cibersegurança culparam a Coreia do Norte pelo o ataque WannaCry. No entanto, pesquisadores de segurança debatem se os sinais de um desenvolvedor norte-coreano detectado no WannaCry eram significativos ou se eram um alarme falso.
Alguns pesquisadores apontaram o fato de que o WannaCry não tinha como alvo a propriedade intelectual e falhou em monetizar adequadamente os sistemas infectados, como um sinal de que um grupo mais amador provavelmente escreveu o código. A análise da linguagem postulou que as notas de resgate exibidas nos sistemas infectados provavelmente foram escritas por um autor de língua chinesa.
Com as táticas de bandeira falsa sendo usadas com mais frequência (onde um grupo de cibercriminosos atribui os ataques a outro país, usando sua bandeira|), tentar encontrar a fonte dos ataques só se tornará mais difícil.
"Eu adoraria ser otimista, mas ainda vemos worms de 20 anos atrás se espalhando na Internet hoje", diz Williams. "Existem sistemas que nunca serão corrigidos, que foram conectados há 10 anos e a organização se esqueceu deles".
Nas redes da Compugraf, nossos especialistas em segurança compartilham suas orientações para empresas mais seguras, especialmente agora em tempos de home office. Não deixe de conferir e de compartilhar com a sua equipe!