WannaCry: ransomware ainda requer atenção
Surgido no último dia 12 de maio, o WanaCrypt0r é um ataque ransomware de nível global que, de forma imediata, ganhou atenção da mídia devido à sua natureza destrutiva, pela forma como foi difundido e graças ao sucesso deste ataque em empresas do setor de Saúde, Telecom e vítimas críticas.
Sua eficácia deve-se principalmente pela presença do código que explora uma vulnerabilidade (CVE-2017-0144) em Microsoft Windows (código: ETERNALBLUE) que foi liberada como parte do Equation Group, do grupo cibercriminoso conhecido como Shadow Brokers em seu quinto vazamento em abril deste ano. A Microsoft corrigiu essa vulnerabilidade como parte da sua atualização mensal de segurança em março, por meio do boletim MS17-010. Esta é uma execução de código remoto (RCE) em nível de sistema do protocolo Server Message Block (SMB) no Microsoft Windows.
O ataque se utilizou dessa vulnerabilidade para espalhar o ransomware WanaCrypt0r na rede, sendo considerado esta, uma vulnerabilidade clássica de worm de rede, assim como os MS-Blaster e o Conficker.
Os primeiros relatórios indicam que o vetor de ataque inicial era via spam por e-mail e / ou phishing. No entanto, isso não foi confirmado e é improvável que esse seja o meio responsável pela disseminação global do malware. Fontes do setor de segurança acreditam que tenha ocorrido um ataque direto ao MS17-010, mas até o momento não há nada conclusivo.
Quando o ransomware WanaCrypt0r é executado com êxito, ele criptografa arquivos-chave no sistema e exibe uma nota com solicitação de resgate, conforme a imagem abaixo.
(FONTE: Microsoft)x
O que torna este ataque único é um recurso chamado de “killswitch” que, integrado ao malware, impede a execução do programa de ransomware WanaCrypt0r. A variante inicial do WanaCrypt0r utiliza hxxp://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, no entanto, há relatos de novas variantes com domínios diferentes.
Um pesquisador de segurança no Reino Unido registrou o domínio inicialmente para rastrear essa ameaça, e logo descobriu que, a partir desta ação, havia habilitado este killswitch, fazendo com que um número de instâncias de WanaCrypt0r não executasse – mas isso foi válido para alguns casos.
No dia do ataque, a Microsoft anunciou a disponibilidade de um patch de emergência para versões fora do suporte do Windows (Windows XP, Windows 8 e Windows Server 2003). A partir daí, com o aumento do uso do patch MS17-010, aliados aos esforços realizados dentro da comunidade de segurança, os ataques parecem ter diminuído.
Uma pesquisa feita pela Unit 42 mostra que houve pouca aderência do pagamento de resgate para esse ataque – um total de 36 BTC ou aproximadamente 63 milhões de dólares, com base no preço atual do BTC. Levando em conta que o WanaCrypt0r solicita 300 dólares por máquina infectada, é possível supor que aproximadamente 210 vítimas pagaram o resgate.
Movimento Lateral
O ransomware WanaCrypt0r se espalha através da porta TCP 445 (associada ao SMB), tentando explorar a vulnerabilidade ETERNALBLUE nos sistemas. Um ataque bem-sucedido contra essa vulnerabilidade infecta o sistema de destino com o ransomware WanaCrypt0r, que criptografa dados no sistema de destino e tenta se espalhar novamente.
Relatórios de vários fornecedores de segurança apontam que o malware pode se espalhar por meio de varreduras e ataques da porta 445 contra a vulnerabilidade ETERNALBLUE, não apenas em redes internas, mas também na Internet.
Esses relatórios indicam ainda que, além do movimento lateral interno já esboçado, o WanaCrypt0r irá procurar pela porta 445 em endereços IP externos aleatórios e, caso encontre um endereço IP com uma porta 445 aberta, ele irá verificar todos os dispositivos no mesmo conjunto de IP (ou seja, que compartilham os três primeiros octetos que aparecem como esse endereço de IP com a porta 445 aberta).
Comando e Controle (C2)
No geral, o WanaCrypt0r não possui recursos C2, mas utiliza a rede TOR para comunicar chaves de criptografia para descriptografia mediante pagamento de resgate. Foi relatado que o backdoor DOUBLEPULSAR (também do vazamento do Equation Group pelo Shadow Brokers) é instalado e utilizado para executar o malware após a exploração bem-sucedida de um host via ETERNALBLUE, mas isso requer uma análise mais aprofundada.
O WanaCrypt0r tem sido um incidente notável dentro da comunidade de cibersegurança e incentivamos os usuários a aplicar o patch necessário da Microsoft para se protegerem contra essa ameaça.
(*) Rick Howard é Chief Security Officer na Palo Alto Networks