O blog da segurança de dentro para fora Blog   /  

Por que o ransomware WannaCry se espalhou tão rapidamente?

Por que o ransomware WannaCry se espalhou tão rapidamente?

Desde a primeira vez que o ransomware apareceu, há 20 anos, tornou-se uma das ameaças mais destrutivas para as empresas, afetando organizações de todos os tamanhos e em todas as indústrias. Hoje não conseguimos passar nem mesmo alguns dias sem ler notícias de sobre algum ataque envolvendo alguma variante de ransomware.

A sexta-feira de 17 de maio de 2017 ficou marcada como o dia de um dos maiores ataques hackers via ransomware já vistos no mundo. O ransomware WannaCry afetou grandes empresas e organismos de 179 países por meio de uma vulnerabilidade presente em todas as versões do Windows desde o Vista. A Telefónica, empresa que controla a Vivo no Brasil e uma das maiores organizações de telecomunicações da Espanha, foi extremamente afetada, tendo mais de 85% de seus computadores infectados e recebendo uma exigência de resgate de mais de 500 mil euros.

No Brasil, os ataques com o ransomware WannaCry afetaram os sistemas do Itamaraty e do Tribunal de Justiça do Estado de São Paulo (TJ-SP), que ficaram fora do ar praticamente o dia todo. Na Inglaterra, uma série de hospitais tiveram seus sistemas bloqueados, afetando até o fluxo de ambulâncias.

Diante de tantas variantes de ransomware atuando no mundo todo, em especial nos últimos três anos, por que o ransomware WannaCry conseguiu se espalhar tão rapidamente e causar o estrago que vimos? Sem entrarmos em detalhes técnicos, as técnicas por trás do maior ataque de hacker via ransomware não têm nada de especial.

O que o WannaCry tem de diferente?

O WannaCry é um tipo de cryptoworm, uma forma maliciosa de malware capaz de se propagar sozinha. Isso significa que, uma vez que esteja posicionado dentro da rede, pode espalhar-se automaticamente sem a necessidade de que alguém o controle remotamente. Isso, certamente, influenciou seu poder de espalhar-se pelo mundo.

Porém, existem centenas de cryptoworms que não causaram o mesmo estrago do WannaCry. A diferença é que, ao contrário dos outros ransomwares, que definem como alvo os dados não estruturados hospedados nos sistemas de arquivos, o WannaCry não fazia esse tipo de distinção.

Além disso, em abril, diversas ferramentas hackers criadas pela NSA vazaram online, entre as quais uma ferramenta que explorava vulnerabilidades de hardware e software para que pudesse invadir e mover-se lateralmente nas redes. O WannaCry tirou proveito disso e foi além: uma vez dentro de uma máquina, ele usava sessões de Remote Desktop Protocol (RDP) para criptografar dados em máquinas remotas, buscava outras máquinas com Windows vulneráveis e servidores com vulnerabilidades da Microsoft, e então adotava a abordagem tradicional de buscar arquivos diretamente nos endpoints.

Cryptoworms como o WannaCry podem se replicar e buscar outros computadores vulneráveis em redes ao redor do mundo. A verdade é que a infecção mundial poderia ter sido pior se não fosse pelo pensamento rápido de um especialista em segurança que identificou que o código do malware foi conectado a um domínio que não estava registrado – para que seu autor pudesse parar o ataque, se quisesse, e para evitar técnicas sandboxing de softwares de IDS/IPS. Apostando em um palpite, o especialista registrou o nome do domínio, registrando, assim, milhares de conexões por segundo, parando o que poderia ter sido uma infecção muito maior.

O que aprendemos com isso

A Microsoft lançou um patch para a vulnerabilidade da qual o ransomware WannaCry tirou proveito, a SMBv1, em março deste ano. Infelizmente, a verdade é que a presença de bons processos de gestão de patches impediria que a maioria das empresas tivesse sido afetada de maneira tão severa.

É claro que uma boa gestão de patches não é suficiente para proteger-se do ransomware – nem mesmo bons processos de backup são suficientes, pois alguns ransomwares conseguem se esconder até nos backups e atacam novamente quando os arquivos são restaurados.

A verdade é que não existe uma maneira única de parar infecções de ransomware ou qualquer outra ameaça. A segurança da informação serve para reduzir riscos, e isso requer uma abordagem de proteção em camadas, em que cada uma deve contar com os controles de segurança adequados, com o uso de soluções para automatizar processos sempre que possível.

Qualquer organização que diga ser 100% segura contra ransomwares ou qualquer outro tipo de ataque está iludida ou mentindo.

We're Varonis.

We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

How it works