O que o WannaCry tem de diferente?
O cryptoworm é um tipo de malware capaz de se propagar sozinho
Desde
a primeira vez que o ransomware apareceu, há 20 anos, tornou-se uma das
ameaças mais destrutivas para as empresas,
afetando organizações de todos os tamanhos e em todas as indústrias.
Hoje não conseguimos passar nem mesmo alguns dias sem ler notícias de
sobre algum ataque envolvendo alguma variante de ransomware.
a primeira vez que o ransomware apareceu, há 20 anos, tornou-se uma das
ameaças mais destrutivas para as empresas,
afetando organizações de todos os tamanhos e em todas as indústrias.
Hoje não conseguimos passar nem mesmo alguns dias sem ler notícias de
sobre algum ataque envolvendo alguma variante de ransomware.
A
sexta-feira de 17 de maio de 2017 ficou marcada como o dia de um dos
maiores ataques hackers via ransomware já vistos
no mundo. O WannaCry afetou grandes empresas e organismos de 179 países
por meio de uma vulnerabilidade presente em todas as versões do Windows
desde o Vista. A Telefónica, empresa que controla a Vivo no Brasil e uma
das maiores organizações de telecomunicações
da Espanha, foi extremamente afetada, tendo mais de 85% de seus
computadores infectados e recebendo uma exigência de resgate de mais de
500 mil euros.
sexta-feira de 17 de maio de 2017 ficou marcada como o dia de um dos
maiores ataques hackers via ransomware já vistos
no mundo. O WannaCry afetou grandes empresas e organismos de 179 países
por meio de uma vulnerabilidade presente em todas as versões do Windows
desde o Vista. A Telefónica, empresa que controla a Vivo no Brasil e uma
das maiores organizações de telecomunicações
da Espanha, foi extremamente afetada, tendo mais de 85% de seus
computadores infectados e recebendo uma exigência de resgate de mais de
500 mil euros.
No
Brasil, os ataques com o ransomware WannaCry afetaram os sistemas do
Itamaraty e do Tribunal de Justiça do Estado de
São Paulo (TJ-SP), que ficaram fora do ar praticamente o dia todo. Na
Inglaterra, uma série de hospitais tiveram seus sistemas bloqueados,
afetando até o fluxo de ambulâncias.
Brasil, os ataques com o ransomware WannaCry afetaram os sistemas do
Itamaraty e do Tribunal de Justiça do Estado de
São Paulo (TJ-SP), que ficaram fora do ar praticamente o dia todo. Na
Inglaterra, uma série de hospitais tiveram seus sistemas bloqueados,
afetando até o fluxo de ambulâncias.
Diante
de tantas variantes de ransomware atuando no mundo todo, em especial
nos últimos três anos, por que o WannaCry
conseguiu se espalhar tão rapidamente e causar o estrago que vimos? Sem
entrarmos em detalhes técnicos, as técnicas por trás do maior ataque de
hacker via ransomware não têm nada de especial.
de tantas variantes de ransomware atuando no mundo todo, em especial
nos últimos três anos, por que o WannaCry
conseguiu se espalhar tão rapidamente e causar o estrago que vimos? Sem
entrarmos em detalhes técnicos, as técnicas por trás do maior ataque de
hacker via ransomware não têm nada de especial.
O que o WannaCry tem de diferente?
O
WannaCry é um tipo de cryptoworm, uma forma de malware capaz
de se propagar sozinha. Isso significa que, uma
vez que esteja posicionado dentro da rede, pode espalhar-se
automaticamente sem a necessidade de que alguém o controle remotamente.
Isso, certamente, influenciou seu poder de espalhar-se pelo mundo.
WannaCry é um tipo de cryptoworm, uma forma de malware capaz
de se propagar sozinha. Isso significa que, uma
vez que esteja posicionado dentro da rede, pode espalhar-se
automaticamente sem a necessidade de que alguém o controle remotamente.
Isso, certamente, influenciou seu poder de espalhar-se pelo mundo.
Porém,
existem centenas de cryptoworms que não causaram o mesmo estrago do
WannaCry. A diferença é que, ao contrário dos
outros ransomwares, que definem como alvo os dados não estruturados
hospedados nos sistemas de arquivos, o WannaCry não fazia esse tipo de
distinção.
existem centenas de cryptoworms que não causaram o mesmo estrago do
WannaCry. A diferença é que, ao contrário dos
outros ransomwares, que definem como alvo os dados não estruturados
hospedados nos sistemas de arquivos, o WannaCry não fazia esse tipo de
distinção.
Além
disso, em abril, diversas ferramentas hackers criadas pela NSA vazaram
online, entre as quais uma ferramenta que
explorava vulnerabilidades de hardware e software para que pudesse
invadir e mover-se lateralmente nas redes. O WannaCry tirou proveito
disso e foi além: uma vez dentro de uma máquina, ele usava sessões de
Remote Desktop Protocol (RDP) para criptografar dados
em máquinas remotas, buscava outras máquinas com Windows vulneráveis e
servidores com vulnerabilidades da Microsoft, e então adotava a
abordagem tradicional de buscar arquivos diretamente nos endpoints.
disso, em abril, diversas ferramentas hackers criadas pela NSA vazaram
online, entre as quais uma ferramenta que
explorava vulnerabilidades de hardware e software para que pudesse
invadir e mover-se lateralmente nas redes. O WannaCry tirou proveito
disso e foi além: uma vez dentro de uma máquina, ele usava sessões de
Remote Desktop Protocol (RDP) para criptografar dados
em máquinas remotas, buscava outras máquinas com Windows vulneráveis e
servidores com vulnerabilidades da Microsoft, e então adotava a
abordagem tradicional de buscar arquivos diretamente nos endpoints.
Cryptoworms
como o WannaCry podem se replicar e buscar outros computadores
vulneráveis em redes ao redor do mundo. A verdade
é que a infecção mundial poderia ter sido pior se não fosse pelo
pensamento rápido de um especialista em segurança que identificou que o
código do malware foi conectado a um domínio que não estava registrado –
para que seu autor pudesse parar o ataque, se quisesse,
e para evitar técnicas sandboxing de softwares de IDS/IPS. Apostando em
um palpite, o especialista registrou o nome do domínio, registrando,
assim, milhares de conexões por segundo, parando o que poderia ter sido
uma infecção muito maior.
como o WannaCry podem se replicar e buscar outros computadores
vulneráveis em redes ao redor do mundo. A verdade
é que a infecção mundial poderia ter sido pior se não fosse pelo
pensamento rápido de um especialista em segurança que identificou que o
código do malware foi conectado a um domínio que não estava registrado –
para que seu autor pudesse parar o ataque, se quisesse,
e para evitar técnicas sandboxing de softwares de IDS/IPS. Apostando em
um palpite, o especialista registrou o nome do domínio, registrando,
assim, milhares de conexões por segundo, parando o que poderia ter sido
uma infecção muito maior.
O que aprendemos com isso
A
Microsoft lançou um patch para a vulnerabilidade da qual o WannaCry
tirou proveito, a SMBv1, em março deste ano. Infelizmente,
a verdade é que a presença de bons processos de gestão de patches
impediria que a maioria das empresas tivesse sido afetada de maneira tão
severa.
Microsoft lançou um patch para a vulnerabilidade da qual o WannaCry
tirou proveito, a SMBv1, em março deste ano. Infelizmente,
a verdade é que a presença de bons processos de gestão de patches
impediria que a maioria das empresas tivesse sido afetada de maneira tão
severa.
É
claro que uma boa gestão de patches não é suficiente para proteger-se
do ransomware – nem mesmo bons processos de backup
são suficientes, pois alguns ransomwares conseguem se esconder até nos
backups e atacam novamente quando os arquivos são restaurados.
claro que uma boa gestão de patches não é suficiente para proteger-se
do ransomware – nem mesmo bons processos de backup
são suficientes, pois alguns ransomwares conseguem se esconder até nos
backups e atacam novamente quando os arquivos são restaurados.
A
verdade é que não existe uma maneira única de parar infecções de
ransomware ou qualquer outra ameaça. A segurança da
informação serve para reduzir riscos, e isso requer uma abordagem de
proteção em camadas, em que cada uma deve contar com os controles de
segurança adequados, com o uso de soluções para automatizar processos
sempre que possível.
verdade é que não existe uma maneira única de parar infecções de
ransomware ou qualquer outra ameaça. A segurança da
informação serve para reduzir riscos, e isso requer uma abordagem de
proteção em camadas, em que cada uma deve contar com os controles de
segurança adequados, com o uso de soluções para automatizar processos
sempre que possível.
Qualquer organização que diga ser 100% segura contra ransomwares ou qualquer outro tipo de ataque está iludida ou mentindo.
(*) Carlos Rodrigues é vice-presidente da Varonis para a América Latina
