WannaCry: a ameaça não acabou

Lembram do ataque cibernético no último dia 12 de maio que atingiu mais de 345 mil dispositivos em 150 países em cinco dias após o incidente? Estima-se que 97% dos dados as máquinas infectadas foram criptografados, gerando pedidos de resgate. Até esta data, os prejuízos do ransomware somavam mais de US$ 112 mil, o equivalente a cerca de R$ 365 mil e já existem mais de 320 variantes do WannaCrypt original.

Embora o susto aparentemente tenha passado e os infectados já tenham retomado suas atividades, o que a maioria não sabe é que o dano poderia ser muito maior. A quantidade de dados vazados pela NSA equivale a mais 8 ataques, além do que ocorreu no dia 12 de maio. Assustador, não?

Entretanto, o que é mais espantoso é o despreparo das empresas em relação a este tipo de incidente, uma vez que novas vulnerabilidades são descobertas, disponibilizadas e até comercializadas diariamente. Além disso, não é novidade para ninguém que todos os dias surgem ameaças cada vez mais avançadas.

O WannaCry ou WannaCrypt surgiu a partir de uma invasão realizada em 2016 na Agência Nacional de Segurança (NSA) norte-americana. O grupo de hackers Shadow Brokers alegou o roubo da “suíte” de invasão apelidada de FuzzBunch, que possuía o EternalBlue, desenvolvido em 2013 e usado pela NSA para espionagens em ambientes com sistemas operacionais da Microsoft. Diversas fontes afirmam que foram localizados links do malware com a Coreia do Norte. O EternalBlue serviu de base para a criação do WannaCry, porém outras ferramentas do tipo também estavam no “pacote” invadido pelo grupo hacker.

Ainda em 2016, o Shadow Brokers publicou na deep web um leilão do ransomware WannaCry, com o EternalBlue incorporado em seu código fonte, com a proposta de 1 milhão de Bitcoins. Sem sucesso, em janeiro de 2017 foi realizada uma nova oferta de ferramentas de espionagem exclusivas para sistemas Windows, incluindo o WannaCry. Desta vez o valor chegava a 100 Bitcoins (US$ 80 mil).

Ao descobrir a vulnerabilidade, a Microsoft disponibilizou diversas atualizações de segurança em março de 2017. A instalação do patch e atualização do sistema teriam evitado a infecção nas máquinas atingidas. Entretanto, as atualizações para as versões Windows XP, 8 Server 2003 e 2008 só foram disponibilizadas em 13 de maio.

O que também muita gente não sabe é que as primeiras infecções causadas pelo WannaCry foram feitas por meio de redes BOTNET que realizavam varreduras em IPs da internet a fim de verificar vulnerabilidades em relação ao patch de segurança disponibilizado pela Microsoft em março deste ano, sem precisar da interação “humana” como por exemplo ataques de phishing. Após contaminar a máquina, o malware se encarrega de localizar outras máquinas vulneráveis na mesma rede e propaga o vírus.

Apesar de todo o histórico, as infecções ocorreram por falhas simples de segurança, que poderiam ter sido evitadas com a atualizações constantes do sistema operacional e aplicativos, além da implantação de políticas de segurança mais assertivas. A falta de atenção quanto a e-mails e programas maliciosos, algo que é utilizado há tanto tempo pelos invasores, revela que a proteção dos dados precisa ser levada mais a sério por usuários e empresas.

Para quem ainda não se protegeu, mas se safou do ataque, é fundamental instalar todas as atualizações disponibilizadas pela Microsoft, antivírus e demais programas utilizados. Outra dica é usar o firewall de forma mais inteligente, desabilitando o protocolo SMB das máquinas com o auxílio deste tutorial. Se o sistema operacional utilizado não possui mais suporte, é possível instalar os patchs de segurança emergenciais disponibilizados pela Microsoft. Se você foi atingido, garanta que o dispositivo infectado seja formatado antes de restaurar o backup dos dados, caso tenha. No caso de empresas, além de todas estas ações, recomenda-se a manutenção constante de toda a rede por profissionais ou empresas confiáveis que avaliem todos os gargalos a fim de implementar as melhores soluções de acordo com a necessidade de cada negócio.

Os ataques só são bem sucedidos porque recomendações teoricamente óbvias como estas não são seguidas por empresas e usuários. Que tal dar mais atenção a segurança dos seus dados desde já? Os ataques não possuem aviso prévio. Vai esperar pelo próximo?

(*) Gerente de Segurança da Informação da REDBELT.