Por que o ransomware WannaCry se espalhou tão rapidamente?

Por que o ransomware WannaCry conseguiu se espalhar tão rapidamente e causar o estrago que vimos? A verdade é que ele não tinha nada de especial. Entenda.
Emilia Bertolli
2 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

Desde a primeira vez que o ransomware apareceu, há 20 anos, tornou-se uma das ameaças mais destrutivas para as empresas, afetando organizações de todos os tamanhos e em todas as indústrias. Hoje não conseguimos passar nem mesmo alguns dias sem ler notícias de sobre algum ataque envolvendo alguma variante de ransomware.

A sexta-feira de 17 de maio de 2017 ficou marcada como o dia de um dos maiores ataques hackers via ransomware já vistos no mundo. O ransomware WannaCry afetou grandes empresas e organismos de 179 países por meio de uma vulnerabilidade presente em todas as versões do Windows desde o Vista. A Telefónica, empresa que controla a Vivo no Brasil e uma das maiores organizações de telecomunicações da Espanha, foi extremamente afetada, tendo mais de 85% de seus computadores infectados e recebendo uma exigência de resgate de mais de 500 mil euros.

No Brasil, os ataques com o ransomware WannaCry afetaram os sistemas do Itamaraty e do Tribunal de Justiça do Estado de São Paulo (TJ-SP), que ficaram fora do ar praticamente o dia todo. Na Inglaterra, uma série de hospitais tiveram seus sistemas bloqueados, afetando até o fluxo de ambulâncias.

Diante de tantas variantes de ransomware atuando no mundo todo, em especial nos últimos três anos, por que o ransomware WannaCry conseguiu se espalhar tão rapidamente e causar o estrago que vimos? Sem entrarmos em detalhes técnicos, as técnicas por trás do maior ataque de hacker via ransomware não têm nada de especial.

O que o WannaCry tem de diferente?

O WannaCry é um tipo de cryptoworm, uma forma maliciosa de malware capaz de se propagar sozinha. Isso significa que, uma vez que esteja posicionado dentro da rede, pode espalhar-se automaticamente sem a necessidade de que alguém o controle remotamente. Isso, certamente, influenciou seu poder de espalhar-se pelo mundo.

Porém, existem centenas de cryptoworms que não causaram o mesmo estrago do WannaCry. A diferença é que, ao contrário dos outros ransomwares, que definem como alvo os dados não estruturados hospedados nos sistemas de arquivos, o WannaCry não fazia esse tipo de distinção.

Além disso, em abril, diversas ferramentas hackers criadas pela NSA vazaram online, entre as quais uma ferramenta que explorava vulnerabilidades de hardware e software para que pudesse invadir e mover-se lateralmente nas redes. O WannaCry tirou proveito disso e foi além: uma vez dentro de uma máquina, ele usava sessões de Remote Desktop Protocol (RDP) para criptografar dados em máquinas remotas, buscava outras máquinas com Windows vulneráveis e servidores com vulnerabilidades da Microsoft, e então adotava a abordagem tradicional de buscar arquivos diretamente nos endpoints.

Cryptoworms como o WannaCry podem se replicar e buscar outros computadores vulneráveis em redes ao redor do mundo. A verdade é que a infecção mundial poderia ter sido pior se não fosse pelo pensamento rápido de um especialista em segurança que identificou que o código do malware foi conectado a um domínio que não estava registrado – para que seu autor pudesse parar o ataque, se quisesse, e para evitar técnicas sandboxing de softwares de IDS/IPS. Apostando em um palpite, o especialista registrou o nome do domínio, registrando, assim, milhares de conexões por segundo, parando o que poderia ter sido uma infecção muito maior.

O que aprendemos com isso

A Microsoft lançou um patch para a vulnerabilidade da qual o ransomware WannaCry tirou proveito, a SMBv1, em março deste ano. Infelizmente, a verdade é que a presença de bons processos de gestão de patches impediria que a maioria das empresas tivesse sido afetada de maneira tão severa.

É claro que uma boa gestão de patches não é suficiente para proteger-se do ransomware – nem mesmo bons processos de backup são suficientes, pois alguns ransomwares conseguem se esconder até nos backups e atacam novamente quando os arquivos são restaurados.

A verdade é que não existe uma maneira única de parar infecções de ransomware ou qualquer outra ameaça. A segurança da informação serve para reduzir riscos, e isso requer uma abordagem de proteção em camadas, em que cada uma deve contar com os controles de segurança adequados, com o uso de soluções para automatizar processos sempre que possível.

Qualquer organização que diga ser 100% segura contra ransomwares ou qualquer outro tipo de ataque está iludida ou mentindo.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

guia-sobre-ransomware:-tipos-e-definições-de-ataques-de-ransomware
Guia sobre Ransomware: tipos e definições de ataques de ransomware
Ataques de ransomware podem resultar em perda significativa de dados, funcionalidade do sistema e recursos financeiros. Mas o que exatamente é ransomware? O ransomware pode assumir uma variedade de formas e formatos, sem mencionar que os invasores estão em constante evolução e adaptação ao longo do tempo. As organizações precisam estar bem informadas sobre os…
cinco-etapas-críticas-para-se-recuperar-de-um-ataque-de-ransomware
Cinco etapas críticas para se recuperar de um ataque de ransomware
Os hackers estão usando cada vez mais o ransomware como uma forma de ataque eficiente para atacar organizações e, consequentemente, financiar atividades maliciosas.  Um relatório da SonicWall divulgado em março deste ano apontou que o Brasil foi o alvo preferencial dos criminosos cibernéticos em 2020. No ano passado, o país foi um dos que mais sofreu ataques de ransomware. Outros dados, como os…
detecção-e-resposta-em-endpoint-(edr):-tudo-o-que-você-precisa-saber
Detecção e Resposta em Endpoint (EDR): Tudo o que você precisa saber
Os pontos de extremidade são o alvo preferido dos invasores que estão em todos os lugares, e estão propensos a vulnerabilidades de segurança difíceis de serem defendidos
brasil:-ransomware-coloca-o-país-entre-a-lista-dos-10-mais-afetados-no-mundo
Brasil: Ransomware coloca o país entre a lista dos 10 mais afetados no mundo
O Brasil sofreu em 2020 mais de 3,8 milhões de ataques de ransomware, ficando somente atrás dos Estados Unidos, África do Sul, Itália, Reino Unido, Bélgica, México, Holanda e Canadá. O número exponencial de ataques foi impulsionado, claro, pelo home office – que fez com que as empresas movessem suas operações rapidamente – e sem as…