WannaCry: Como o Ransomware Afetou o Mundo?

O ciberataque global ocorrido em maio deste ano afetou mais de 200 mil organizações em 150 países, inclusive o Brasil, encriptando arquivos nos computadores afetados e exigindo pagamento de resgate em Bitcoins. Com o incrível poder de disseminação do malware, especialistas em segurança da informação se preocupam com a suscetibilidade de usuários comuns e empresas a ataques.

Amanda Maria Martins Funabashi e Lucas Leal Caparelli

O QUE OCORREU

No dia 12 de maio de 2017 deu-se início a um ciberataque que atingiu, em menos de um dia, cerca de 230.000 computadores ao redor do mundo. Segundo a CNN, o ataque afetou organizações como o Serviço Nacional de Saúde do Reino Unido (National Health Service – NHS), a Telefónica da Espanha, a americana FedEx e a alemã Deustche Bahn. O abalo em nível internacional foi bcausado por um software malicioso conhecido como “WannaCry”, também chamado de “WannaCryptor”, “Wanna Decryptor” e “WanaCrypt0r 2.0”. Esse software sequestra computadores (impossibilita seu uso até que seja pago uma espécie de resgate), criptografando seus arquivos e pedindo um resgate em Bitcoin¹ de trezentos até seiscentos dólares [1].

O programa tinha como alvo sistemas que utilizavam o sistema operacional Windows numa versão desatualizada, na qual o ransomware era capaz de se infiltrar e prejudicar o usuário, além de se replicar na rede à qual o computador estava conectado, afetando outros computadores vulneráveis [2].

Tudo isso foi possível devido a uma falha no sistema operacional Windows. Essa falha permitia a propagação de um programa devido a uma inconsistência nos serviços de compartilhamento de arquivos SMB (Server Message Block), que tem como função permitir o acesso compartilhado a arquivos, impressoras, portas seriais e comunicações diversas dentro de uma rede. A falha não era de conhecimento da Microsoft e veio à tona publicamente apenas depois que um grupo hacker chamado “The Shadow Breakers” disponibilizou informações sobre ela em um repositório do GitHub juntamente a outras ferramentas para uso malicioso. Aparentemente, o grupo passou a ter conhecimento sobre a falha a partir de uma invasão à rede da Agência de Segurança Nacional Americana (National Security Agency – NSA). A NSA havia descoberto a falha e a nomeado “EternalBlue”. [3].

Evidências indicam que o ataque foi originado na Coréia do Norte, propagado por um grupo de hackers ligado ao governo norte-coreano. Esse mesmo grupo esteve envolvido no ataque à Sony em 2014 e num roubo a um banco em Bangladesh em 2016, no qual foram roubados 81 milhões de dólares [4].

Quando descoberta a vulnerabilidade, a Microsoft logo lançou patches de segurança para versões do Windows. De acordo com especialistas em segurança, dentro de quatro dias grande parte das empresas já haviam aplicado as atualizações e a velocidade de novas infecções havia diminuído [18].

Uma outra contramedida empregada, responsável por cessar os ataques deste programa malicioso, foi descoberta por um profissional de segurança da informação autodidata chamado Marcus Hutchins. Hutchins teria percebido que o programa se conecta a um domínio na internet não registrado enquanto em execução. Sua solução foi simplesmente comprar o domínio por cerca de 10 dólares e desativar a conexão. Isso impediu esta versão do Wannacry de continuar sua infecção, mas é importante observar que ataques que fazem uso dessa falha serão ineficazes somente depois que todos dispositivos estiverem protegidos através de patches, já que podem ser criados softwares com a mesma estrutura que o Wannacry, mas fazendo conexões com outros domínios desconhecidos [20].

1- Bitcoin: moeda digital de difícil rastreamento.

O QUE SÃO CIBERATAQUES

Um ciberataque é qualquer tipo de manobra ofensiva empregada por estado-nações, indivíduos, grupos ou organizações que tenham como alvo sistemas de informação computacionais, infraestruturas, redes de computadores e/ou computadores pessoais. A manobra é executada através de diversos meios maliciosos, geralmente originários de uma fonte anônima que rouba, altera ou destrói um alvo específico infiltrando-se em um sistema suscetível [5].

Segundo essa definição, podemos classificar o ocorrido em 12 de maio de 2017 como um ciberataque de escala mundial que afetou estado-nações, indivíduos, grupos e organizações.

O QUE É UM RANSOMWARE?

Segundo a empresa de segurança da informação Trend Micro [6], um ransomware é um tipo de software malicioso que previne ou limita o acesso de um sistema pelo seu usuário, seja bloqueando a tela do sistema ou bloqueando os arquivos até que um resgate seja pago.

O QUE É O WANNACRY

Wanna Decryptor, ou WannaCry, é um ransomware que criptografa os dados do computador infectado, isto é, transforma algo em uma espécie de código incompreensível à primeira vista. Para aqueles interessados em criptografia, temos uma matéria sobre o assunto. Ao criptografar os dados, o programa torna os arquivos inacessíveis e deixa para o usuário apenas o arquivo do próprio programa Wanna Decryptor juntamente a um arquivo de instruções de como recuperar seus dados. Quando o usuário acessa o computador, o programa do WannaCry é aberto com uma mensagem de aviso dizendo que é necessário que o mesmo realize um pagamento em Bitcoin para que seus arquivos não sejam deletados. A mensagem é complementada com instruções de como esse pagamento deve ser executado e um tempo limite [10] para a sua realização. Veja a mensagem na figura 1.

*Figura 1: Interface WannaDecryptor. Fonte: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/*

A maioria dos ransomwares se espalham escondidos em documentos Word, arquivos PDF e outros arquivos normalmente enviados por e-mail, ou por meio de infecções prévias presentes no dispositivo, que abrem as portas para futuros ataques [11]. No entanto, o WannaCry age como um worm, ou seja, faz uso de uma rede para se espalhar automaticamente pelos outros computadores. Assim, basta infectar um computador que todos os outros em rede serão também infectados, dependendo de falhas na segurança do computador alvo para acessá-lo [12].

Especialistas recomendam que, em caso de infecção, as vítimas nunca paguem o valor exigido, já que isso encoraja os hackers, além de não resolver o problema e manter a vítima exposta para futuros ataques/golpes/invasões. No entanto, não há garantia nenhuma que os dados serão descriptografados e devolvidos [10][11].

A INFECÇÃO AO REDOR DO MUNDO

A Europol, polícia do continente europeu, informou que mais de 150 países foram afetados pelo programa malicioso. Segundo o porta-voz da Europol, Jan Op Gen Oorth, esse foi maior ataque de ransomware da história, afetando mais de 200.000 indivíduos. Entre os 150 países supracitados, o Brasil também foi afetado de maneira contundente. Funcionários de vários órgãos governamentais como o Tribunal de Justiça de São Paulo, Ministério do Trabalho, entre outros, foram orientados a desligarem as redes e os computadores de maneira a evitar maior infecção[7][8].

Segundo um ranking [9] feito pela Avast, a Rússia teve o maior número de dispositivos infectados, enquanto o Brasil encontra-se em quinto na lista. A Avast elencou ainda uma lista de proporção de dispositivos vulneráveis em cada país em relação ao número de dispositivos totais, na qual o Brasil encontra-se novamente na quinta posição, conforme Tabela 1:

*Tabela 1: Relação entre países e dispositivos afetados: (a) em números absolutos; (b) em números relativos.*

Na figura 2 é mostrado um detalhamento sobre os países afetados pelo WannaCry em sua totalidade:

Figura 2: Países afetados pelo WannaCry. Fonte: https://www.eyerys.com/articles/timeline/wannacry-infecting-more-230000-computers-99-countries#event-a-href-articles-timeline-facebook-and-billion-userfacebook-and-a-billion-user-a

OUTROS CIBERATAQUES RECENTES E MARCANTES

Ciberataques não são novidade. Diversos outros ataques já ocorreram ao longo da história da computação, alguns envolvendo grandes bancos, empresas e instituições governamentais.

Um dos primeiros ciberataques massivos a atingir um Estado ocorreu em 2007, na Estônia. A larga infecção forçou o fechamento dos sites do governo e interrompeu algumas das principais empresas do país, paralisando seus serviços via web por dias e interrompendo a linha de emergência nacional por mais de uma hora. A Estônia, que estava em disputa diplomática com a Rússia, culpou o país pelos ataques. Este, por sua vez, negou seu envolvimento [13].

A Rússia foi novamente citada em 2016, acusada de influenciar nas eleições dos Estados Unidos, a favor de Donald Trump. Acredita-se que um grupo de hackers russos invadiram os e-mails da Convenção Nacional Democrata (Democratic National Committee – DNC), publicando informações adquiridas e influenciando negativamente a campanha de Hillary Clinton [15][16].

Outro recente grande ataque foi referente a cartões de débito utilizados na Índia. Em uma das maiores violações de dados já ocorridas na Índia, 3,2 milhões de cartões de débito de múltiplos bancos tiveram sua segurança comprometida. Acredita-se que essa violação tenha sido originada por um malware que infectou o sistema de pagamento da Hitachi, permitindo que os fraudadores roubassem informações e tivessem acesso às contas da empresa [14][17].

COMO SE PREVENIR DE CIBERATAQUES

O modo mais comum de ser infectado por um vírus é por meio de e-mails e de alguns sites que, sorrateiramente, fazem o download do vírus no computador. É necessário haver um cuidado por parte dos usuários em relação ao que estão acessando. Para que os responsáveis pelo ciberataque tenham acesso a algum dispositivo, eles precisam fazer a instalação de um software malicioso, e isso pode ser evitado. A melhor forma de se proteger desses ataques é evitar e-mails e links suspeitos, bem como possuir um antivírus instalado no dispositivo, e habilitá-lo para escanear (verificar) os arquivos antes de realizar o download deles, para bloquear instalações ocultas, para procurar por malwares que já possam estar no dispositivo, excluindo-os, e para manter o sistema operacional atualizado.

Mas, ainda assim, ter um backup dos dados armazenados no dispositivo é essencial para a recuperação desses em casos de ciberataques que façam uso de, por exemplo, os ransomware [10]. O uso de serviços de Cloud Computing pode ser uma forma alternativa de backup dos dados, mas malwares e arquivos maliciosos podem se espalhar rapidamente dentro de uma empresa por meio dos serviços de cloud, uma vez que um computador dentro de uma empresa pode ter um arquivo infectado, automaticamente sincronizado com a conta do serviço de cloud, e outros usuários dessa empresa acessam esses arquivos, infectando novos computadores. Além disso, alguns ransomwares mais sofisticados estão utilizando o serviço de cloud para se espalhar [19].

Referências:

[1] http://money.cnn.com/2017/05/13/technology/ransomware-attack-who-got-hurt/index.html

[2]https://www.alertlogic.com/blog/wannacry-a-propagation-brought-to-you-by-eternalblue-and-doublepulsar/

[3]https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/

[4]https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group

[5]https://ssrn.com/abstract=2765010

[6]https://www.trendmicro.com/vinfo/us/security/definition/ransomware

[7]https://www.washingtonpost.com/business/economy/more-than-150-countries-affected-by-massive-cyberattack-europol-says/2017/05/14/5091465e-3899-11e7-9e48-c4f199710b69_story.html?utm_term=.7d548bfacaaa

[8]https://tecnologia.uol.com.br/noticias/redacao/2017/05/12/virus-de-ciberataque-mundial-e-novo-e-pode-atingir-computadores-pessoais.htm

[9]http://computerworld.com.br/brasil-esta-entre-os-paises-mais-afetados-pelo-ransomware-wannacry

[10]http://www.telegraph.co.uk/technology/0/ransomware-does-work/

[11]https://www.theguardian.com/technology/2017/may/12/nhs-ransomware-cyber-attack-what-is-wanacrypt0r-20