WannaCry

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa
Gnome globe current event.svg
Este artigo ou seção é sobre um evento atual. A informação apresentada pode mudar rapidamente.
Editado pela última vez em 22 de maio de 2017.
WanaCrypt0r 2.0
Linguagem C++
Sistema operacional Microsoft Windows
Gênero(s) Ransomware

WannaCrynota 1 é um crypto-ransomware que afeta o sistema operativo Microsoft Windows. A sua difusão a larga escala iniciou-se a 12 de maio de 2017 através de técnicas de phishing5, infectando mais de 230.000 sistemas.67 Organizações como a Telefónica8 e o Serviço Nacional de Saúde britânico9 foram afetadas, juntamente com outras operadoras de telecomunicações, empresas de transportes, organizações governamentais, bancos e universidades.10 A Europol qualificou o seu impacto como «sem precedentes».10 11

A ameaça utiliza técnicas de exploração alegadamente desenvolvidas pela Agência de Segurança Nacional1213 dos Estados Unidos. Uma correção crítica para a vulnerabilidade (em sistemas operativos com suporte) foi publicada a 14 de março de 2017.14 Atualizações de segurança para Windows XP e Server 2003, não suportados pela Microsoft, foram também lançadas em resposta a esta ameaça.1516

Após o início da sua propagação, um investigador17 permitiu inadvertidamente uma estabilização do número de infeções,18 ao qual se seguiu pouco depois o surgimento de variantes que contornam a técnica utilizada para a prevenção da infeção.1920

Os três endereços bitcoin incorporados no software malicioso foram monitorizados através de um bot.13 A 14 de maio de 2017, os resgates pagos totalizavam cerca de 33.000 dólares.21

Infecçãoeditar | editar código-fonte

A divulgação de exploits pelo grupo The Shadow Brokers a 14 de abril de 20172223 levou ao lançamento de uma correção crítica pela Microsoft em março de 2017.14 A técnica de exploração utilizada pelo malware deve-se a uma vulnerabilidade (EternalBlue/MS17-010) referente ao protocolo Server Message Block (SMBv124 e SMBv22526) que permite a execução de código remoto ou, em alternativa, a um backdoor (DOUBLEPULSAR).2718

O ransomware foi detectado pela primeira vez no início de fevereiro de 2017.2829 A ameaça propaga-se através de um anexo de correio eletrônico ou através de outros computadores comprometidos na mesma rede graças a um executável, com características de worm3031, que procura replicar-se por servidores Windows que estejam acessíveis através da porta 445.3233 Após ganhar acesso a um sistema, procede à sua replicação e execução, tentando depois a ligação a um domínio na Internet.18 Caso esta ligação seja bem-sucedida, o processo é terminado sem que a sua componente de ransomware seja executada. Em caso contrário, um ficheiro comprimido e protegido por palavra-passe é extraído para o sistema e executado.18 A ameaça procede depois à extração de um cliente TOR, para a comunicação com os servidores de comando e controlo34; e à alteração de privilégios do utilizador de modo a facilitar a criptografia dos dados.

Após a encriptação dos dados, serviços relacionados com a recuperação de dados e restauro do sistema são desativados pelo ransomware. Como acontece com ameaças semelhantes, é exigido o resgate dos dados através do pagamento de $300 em bitcoin num prazo de três dias, e com a ameaça de destruição dos dados caso esta quantia não seja paga.35 A mensagem foi traduzida para mais de vinte idiomas.36

Impactoeditar | editar código-fonte

Europaeditar | editar código-fonte

O Centro de Cibersegurança Europeu (Europol), notou o nível «sem precedentes» do acontecimento e a necessidade de uma «investigação internacional complexa que permita identificar os culpados».37 As repercussões desta ameaça foram sentidas particularmente no Reino Unido, onde o Serviço Nacional de Saúde se viu obrigado a cancelar consultas não-urgentes e a desviar ambulâncias.3839 A organização viu-se fortemente afetada graças à presença de numerosos sistemas com Windows XP40, cujo suporte havia terminado em abril de 2014.41

Foi também noticiada a paragem, no mesmo país, da linha de produção de uma fábrica pertencente à companhia automóvel Nissan e de outra, em França, pertencente à Renault.4243

Em Portugal, as empresas afetadas, entre as quais a Portugal Telecom e a EDP, decidiram ativar os seus planos de segurança, restringindo o acesso ou desligando as suas redes internas.4445 Por sua parte, a Polícia Judiciária deu início a investigações ao sucedido.46

Organizações afetadaseditar | editar código-fonte

Interrupção da propagaçãoeditar | editar código-fonte

No dia 13 de Maio de 201766,um investigador sob o pseudónimo MalwareTech, que havia criado uma ferramenta para monitorar a propagação do ransomware em tempo real, encontrou por acidente um mecanismo de interrupção contido no código da ameaça, que permitia a prevenção da sua propagação através do contato com um domínio.67 No entanto, este mecanismo é interpretado como um erro por parte dos criminosos, e foi dado como expectável a criação de variantes sem este.686970

A identidade da pessoa responsável pela interrupção da propagação foi revelada posteriormente: trata-se do surfista britânico Marcus Hutchins que trabalha na empresa Kryptos Logic.71

Notas

  1. Outras designações incluem WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY, WNCRY1234

Referências

  1. «Customer Guidance for WannaCrypt attacks». MSRC (em inglês) 
  2. Fox-Brewster, Thomas. «An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak». Forbes 
  3. Woollaston, Victoria. «Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?». WIRED UK (em inglês) 
  4. «Ataque massivo do ransonware WannaCry afeta dezenas de países | GetCard Data Center». www.getcard.com.br. Consultado em 14 de maio de 2017 
  5. Gayle, Damien; Topping, Alexandra; Sample, Ian; Marsh, Sarah; Dodd, Vikram (13 de maio de 2017). «NHS seeks to recover from global cyber-attack as security concerns resurface». The Guardian (em inglês). ISSN 0261-3077 
  6. «A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World». Motherboard (em inglês). Consultado em 13 de maio de 2017 
  7. Larson, Selena (12 de maio de 2017). «Massive ransomware attack hits 99 countries». CNNMoney. Consultado em 13 de maio de 2017 
  8. Muñoz, Ramón (12 de maio de 2017). «El Gobierno confirma un ciberataque masivo a empresas españolas». EL PAÍS (em espanhol) 
  9. Marsh, Sarah (12 de maio de 2017). «The NHS trusts hit by malware – full list». The Guardian (em inglês). ISSN 0261-3077 
  10. a b «Cyber-attack: Europol says it was unprecedented in scale». BBC News (em inglês). 13 de maio de 2017. Consultado em 13 de maio de 2017 
  11. «O que é WannaCry e como se proteger | Tech Mob». www.techmob.com.br. Consultado em 15 de maio de 2017 
  12. «NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history». The Telegraph (em inglês) 
  13. a b Collins, Keith. «Watch as these bitcoin wallets receive ransomware payments from the global cyberattack». Quartz (em inglês) 
  14. a b «Microsoft Security Bulletin MS17-010 – Critical». technet.microsoft.com. Consultado em 13 de maio de 2017 
  15. «Customer Guidance for WannaCrypt attacks». MSRC (em inglês) 
  16. «Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser». MSPoweruser (em inglês). 13 de maio de 2017 
  17. «How to Accidentally Stop a Global Cyber Attacks». MalwareTech. 13 de maio de 2017 
  18. a b c d «WannaCry — The largest ransom-ware infection in History». Comae Technologies. 12 de maio de 2017 
  19. «Round Two: WannaCry Ransomware That Struck the Globe Is Back». Motherboard (em inglês). Consultado em 14 de maio de 2017 
  20. Khandelwal, Swati. «It's Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'». The Hacker News (em inglês). Consultado em 14 de maio de 2017 
  21. «actual ransom on Twitter». Twitter. The three bitcoin wallets tied to #wcry ransomware have received 139 payments totaling $38,747.87 USD. 
  22. Menn, Joseph (17 de fevereiro de 2015). «Russian researchers expose breakthrough U.S. spying program». Reuters. Consultado em 24 de novembro de 2015 
  23. «NSA-leaking Shadow Brokers just dumped its most damaging release yet». Ars Technica (em inglês). Consultado em 15 de abril de 2017 
  24. «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017 
  25. «WannaCry ransomware used in widespread attacks all over the world - Securelist». securelist.com. Consultado em 15 de maio de 2017 
  26. «What you need to know about the WannaCry Ransomware». Symantec Security Response 
  27. «WCry/WanaCry Ransomware Technical Analysis | Endgame». www.endgame.com. Consultado em 15 de maio de 2017 
  28. Kroustek, Jakub (12 de maio de 2017). «Mais de 57.000 ataques de ransomware atingiram hoje a Telefonica e os hospitais NHS na Inglaterra». AVAST Software, Inc. 
  29. «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017 
  30. «What You Need to Know About WannaCry Now – Safe and Savvy Blog by F-Secure». Consultado em 15 de maio de 2017 
  31. «The worm that spreads WanaCrypt0r - Malwarebytes Labs | Malwarebytes Labs». blog.malwarebytes.com (em inglês). Consultado em 15 de maio de 2017 
  32. «Kafeine on Twitter». Twitter (em inglês). 12 de maio de 2017. WannaCry/WanaCrypt0r 2.0 is indeed triggering ET rule: 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response" 
  33. «WannaCry / Wana Decryptor / WanaCrypt0r Technical Nose Dive». BleepingComputer (em inglês) 
  34. «Wannacrypt0r-FACTSHEET.md». Gist (em inglês). Consultado em 15 de maio de 2017 
  35. «Everything you need to know about the WannaCry / Wcry / WannaCrypt ransomware». Troy Hunt (em inglês). 13 de maio de 2017 
  36. «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017. Unlike most ransomware campaigns, which usually target specific regions, WCry is targeting systems around the globe. So it comes as no surprise that the ransomware authors provide localised ransomware message for more than 20 languages 
  37. «Wannacry Ransomware: recent cyber-attack». Europol (em inglês) 
  38. «Global cyberattack strikes dozens of countries, cripples U.K. hospitals» (em inglês) 
  39. «NHS cyber-attack: GPs and hospitals hit by ransomware». BBC News (em inglês). 13 de maio de 2017 
  40. «NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP». Motherboard (em inglês). Consultado em 14 de maio de 2017 
  41. «Windows XP End of Support». www.microsoft.com (em inglês). Consultado em 14 de maio de 2017 
  42. «Nissan's Sunderland factory latest victim of massive cyber attack». The Independent (em inglês). 13 de maio de 2017 
  43. Rosemain, Mathieu (13 de maio de 2017). «Renault stops production at several plants after ransomware attack». mirror 
  44. «PT/MEO alvo de ataque de ransomware (nova actualização)». Computerworld. 12 de maio de 2017. Consultado em 14 de maio de 2017 
  45. «Portugal Telecom afetada em ataque informático mundial». VISÃO. 12 de maio de 2017 
  46. «Portugal Telecom confirma ter sido alvo de ciber-ataque». RTP Notícias 
  47. «WannaCry no Brasil e no mundo». O Povo. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  48. «WannaCry no Brasil e no mundo». O Povo. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  49. «Ciberataque afeta computadores do hospital siriolibanes». 13 de maio de 2017. Consultado em 14 de maio de 2017 
  50. a b c d «Global cyber attack: A look at some prominent victims» (em espanhol). elperiodico.com. 13 de maio de 2017. Consultado em 14 de maio de 2017 
  51. «Instituto Nacional de Salud, entre víctimas de ciberataque mundial». 13 de maio de 2017 
  52. «France's Renault hit in worldwide 'ransomware' cyber attack» (em espanhol). france24.com. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  53. «Weltweite Cyberattacke trifft Computer der Deutschen Bahn» (em alemão). faz.net. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  54. Balogh, Csaba (12 de maio de 2017). «Ideért a baj: Magyarországra is elért az óriási kibertámadás». HVG (em Hungarian). Consultado em 13 de maio de 2017 
  55. «Andhra police computers hit by cyberattack» (em inglês). Times of India. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  56. «Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca» (em italiano). repubblica.it. 12 de maio de 2017. Consultado em 13 de maio de 2017 
  57. «PT Portugal alvo de ataque informático internacional». Observador. 12 de maio de 2017. Consultado em 13 de maio de 2017 
  58. (em romeno) «Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța». Pro TV. 13 de maio de 2017 
  59. (em romeno) «UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO». Libertatea. 12 de maio de 2017 
  60. «Massive cyber attack creates chaos around the world». news.com.au. Consultado em 13 de maio de 2017 
  61. «Researcher 'accidentally' stops spread of unprecedented global cyberattack». ABC News. Consultado em 13 de maio de 2017 
  62. «Компьютеры РЖД подверглись хакерской атаке и заражены вирусом». Radio Liberty. Consultado em 13 de maio de 2017 
  63. a b «Un ataque informático masivo con 'ransomware' afecta a medio mundo» (em espanhol). elperiodico.com. 12 de maio de 2017. Consultado em 13 de maio de 2017 
  64. a b «"Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France"» (em inglês). The Independent. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  65. «What is Wannacry and how can it be stopped?» (em inglês). Ft.com. 12 de maio de 2017. Consultado em 13 de maio de 2017 
  66. «Blogueiro de segurança descobre como parar o WannaCry, mas e agora o que esperar? | GetCard Data Center». www.getcard.com.br. Consultado em 14 de maio de 2017 
  67. Solon, Olivia (13 de maio de 2017). «'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack». London. The Guardian. Consultado em 13 de maio de 2017 
  68. «Hacker encontra forma de parar onda de ataques que se espalhou pelo mundo - Olhar Digital» 
  69. [1]
  70. Kan, Micael. «A 'kill switch' is slowing the spread of WannaCry ransomware». PC World. Consultado em 13 de maio de 2017 
  71. G1. Quem é o surfista de 22 anos que freou, do computador de seu quarto, o ciberataque mundial?. Acesso em 17 de maio de 2017