Após a onda, uma simples visão sobre WannaCry

Impossível esquecer o ataque que aconteceu último dia 12/05. O ransomware chamado WannaCry teve seu ataque amplamente televisionado, saiu em todos os jornais e em todas as mídias. Uma sexta-feira 12 com cara de “Sexta-feira 13”. O nome WannaCry cairia muito bem na série de filmes do diretor Sean S. Cunningham.

Só para dar uma resumida nesse ataque e sendo um pouco tardio sobre isso, justamente porque ele deixou a comunidade de segurança bem ocupada na última semana e, de certa forma, ainda nesta.

Quando se trata de ransomware, acredito que estar atualizado em questões de segurança é fundamental. Ransomware é um tipo de software malicioso (Malware) criado com o intuito de bloquear o acesso aos dados, alguns com criptografia e outros não, para só liberá-los após o pagamento de um valor especificado.

O que o WannaCry fez de diferente em relação a outros ransomware?

Worms caracterizam-se pela replicação, ou seja, o vírus infecta uma máquina e a partir dessa máquina infecta outra e assim sucessivamente. Até o momento, não tinha um ransomware com capacidade de replicação tão grande quanto tem o WannaCry.

Além disso ele usa uma falha que afeta quase todas as versões do Windows modernas, corrigida em março pela Microsoft. Ele aproveita essa falha para infectar a máquina. Portanto quem estava unpatched, não fez as atualizações, tornou-se vulnerável e o WannaCry conseguiu entrar. A partir dessa máquina, ele faz isso em outras e assim sucessivamente. Bastou o criador do WannaCry infectar uma, duas ou três máquinas: a ameaça se espalhou sozinha.

Por isso que muitas empresas vinham desligando estações de trabalho e servidores. Elas não tinham aplicado a correção e não queriam que fossem expostos e infectados, que oferecessem um risco de proliferação e talvez ter que enfrentar uma grande indisponibilidade dos serviços. Então desligaram, tiraram da internet ou tiraram de operação, com medo do movimento lateral. Uma vez que o ataque já está dentro da infraestrutura da empresa, ele pode se movimentar dentro dessa infraestrutura e até sair dela, atacando outras empresas.

Este foi o motivo pelo qual o WannaCry se espalhou tanto, com centenas de vítimas no Brasil e milhares no mundo: a combinação das capacidades de worm e ransomware e uma vulnerabilidade do sistema. Ainda que a vulnerabilidade não fosse de dia zero (zero day), pois já havia sido corrigida há mais de um mês, ela era muito recente. Nem sempre a equipe de TI, empresas e usuários têm tempo apto ou atenção suficiente para fazer essa atualização o mais rápido possível. Ter este tempo chega a ser até utópico nos dias de hoje.

O ataque foi muito prejudicial para todo mundo, não somente financeiramente, visto que afetou empresas de todo tipo de natureza, até mesmo empresas que possuem operação continuada, como Hospitais e Escolas. Inclusive não se sabe ao certo se quem foi infectado e pagou o resgate recebeu os arquivos de volta. O recomendado é não pagar, porque isso sustenta o crime e não há garantia de que a vítima terá de fato os dados de volta. Há uma série de desvantagens em fazer pagamento de resgates em casos de ataque de ransomware.

E não para por aí! Neste exato momento, já existem variantes se aproveitando da mesma falha no Windows; existem famílias inteiras de outros ransomware, botnet e outros tipos de ameaças, que ainda darão dor de cabeça por um tempo… então Proteja-se!

 

Categorias

Veja outras publicações

Menu