WannaCry

Na informática, o WannaCry, também chamado WCry, WCrypt, WanaCrypt0r 2.0, Wanna Decryptor 2.0.^{[1][2][3][4][5]}é um crypto-ransomware (um malware) que afeta o sistema operativo Microsoft Windows desatualizado. A sua difusão em larga escala iniciou-se em 2017 infectando mais de 230 mil sistemas,^[6][7] dentre operadoras de telecomunicações, empresas de transportes, organizações governamentais, bancos e universidades.^[8] Com impacto qualificado como «sem precedentes».^[8][9]

WanaCrypt0r 2.0
WannaCry Ransomware WannaCry em ação
Escrito em	C++
Sistema operacional	Microsoft Windows
Gênero(s)	Ransomware

A ameaça utiliza técnicas de exploração alegadamente desenvolvidas pela Agência de Segurança Nacional^[10][11] dos Estados Unidos. Uma correção crítica para a vulnerabilidade (em sistemas operativos com suporte) foi publicada a 14 de março de 2017.^[12] Atualizações de segurança para Windows XP e Server 2003, não suportados pela empresa Microsoft, foram também lançadas em resposta a esta ameaça.^[13]

Após o início da sua propagação, um investigador^[14] permitiu inadvertidamente uma estabilização do número de infeções,^[15] ao qual se seguiu pouco depois o surgimento de variantes que contornam a técnica utilizada para a prevenção da infeção.^[16][17] Os três endereços bitcoin incorporados no software malicioso foram monitorizados através de um bot.^[11] A 14 de maio de 2017, os resgates pagos totalizavam cerca de 33.000 dólares.^[18]

Em dezembro de 2017, os Estados Unidos e o Reino Unido afirmaram formalmente que a Coreia do Norte estava por trás do ataque, embora os norte-coreanos tenham negado qualquer envolvimento no ataque.^[19]

Infecção

A difusão do WannaCry em larga escala iniciou-se a 12 de maio de 2017 infectando mais de 230 mil sistemas.^[6][7] Organizações como a Telefónica^[20] e o Serviço Nacional de Saúde britânico^[21] foram afetadas, juntamente com outras operadoras de telecomunicações, empresas de transportes, organizações governamentais, bancos e universidades.^[8] O Centro de Cibersegurança Europeu (Europol) qualificou o seu impacto como «sem precedentes».^[8][9]

A divulgação de exploits pelo grupo The Shadow Brokers a 14 de abril de 2017^[22][23] levou ao lançamento de uma correção crítica pela Microsoft em maio de 2017.^[12] A técnica de exploração utilizada pelo malware deve-se a uma vulnerabilidade (EternalBlue/MS17-010) referente ao protocolo Server Message Block (SMBv1^[24] e SMBv2^[25][26]) que permite a execução de código remoto ou, em alternativa, a um backdoor (DOUBLEPULSAR).^[27][15]

O ransomware foi detectado pela primeira vez no início de fevereiro de 2017.^[28][29] A ameaça propaga-se através de um anexo de correio eletrônico ou através de outros computadores comprometidos na mesma rede graças a um executável, com características de worm,^[30][31] que procura replicar-se por servidores Windows que estejam acessíveis através da porta 445.^[32][33] Após ganhar acesso a um sistema, procede à sua replicação e execução, tentando depois a ligação a um domínio na Internet.^[15] Caso esta ligação seja bem-sucedida, o processo é terminado sem que a sua componente de ransomware seja executada. Em caso contrário, um ficheiro comprimido e protegido por palavra-passe é extraído para o sistema e executado.^[15] A ameaça procede depois à extração de um cliente TOR, para a comunicação com os servidores de comando e controlo;^[34] e à alteração de privilégios do utilizador de modo a facilitar a criptografia dos dados.

Após a encriptação dos dados, serviços relacionados com a recuperação de dados e restauro do sistema são desativados pelo ransomware. Como acontece com ameaças semelhantes, é exigido o resgate dos dados através do pagamento de $300 em bitcoin num prazo de três dias, e com a ameaça de destruição dos dados caso esta quantia não seja paga.^[35] A mensagem foi traduzida para mais de vinte idiomas.^[36]

Em 17 de Julho de 2017 aconteceu um ataque cibernético em grande escala, em cidades do Brasil e mundo.

Impacto

Europa

O Centro de Cibersegurança Europeu (Europol), notou o nível «sem precedentes» do acontecimento e a necessidade de uma «investigação internacional complexa que permita identificar os culpados».^[37] As repercussões desta ameaça foram sentidas particularmente no Reino Unido, onde o Serviço Nacional de Saúde se viu obrigado a cancelar consultas não-urgentes e a desviar ambulâncias.^[38][39] A organização viu-se fortemente afetada graças à presença de numerosos sistemas com Windows XP,^[40] cujo suporte havia terminado em abril de 2014.^[41]

Foi também noticiada a paragem, no mesmo país, da linha de produção de uma fábrica pertencente à companhia automóvel Nissan e de outra, em França, pertencente à Renault.^[42][43]

Em Portugal, as empresas afetadas, entre as quais a Portugal Telecom e a EDP, decidiram ativar os seus planos de segurança, restringindo o acesso ou desligando as suas redes internas.^[44][45] Por sua parte, a Polícia Judiciária deu início a investigações ao sucedido.^[46]

Organizações afetadas

• Tribunal de Justiça de São Paulo^[47]
• Vivo (Telefônica Brasil) (Brasil)^[48]
• Hospital Sírio-Libanês (Brasil)^[49]
• Universidade Sun Yat-sen (China)^[50]
• Instituto Nacional de Salud (Colômbia)^[51]
• Renault (França)^[52]
• Deutsche Bahn (Alemanha)^[53]
• Telenor (Hungria)^[54]
• Andhra Pradesh Police (Índia)^[55]
• Dharmais Hospital (Indonésia)^[50]
• Harapan Kita Hospital (Indonésia)^[50]
• Universidade de Milano-Bicocca (Itália)^[56]
• Portugal Telecom^[57]
• Automobile Dacia (Roménia)^[58]
• Ministério dos Negócios Estrangeiro (Romênia)^[59]
• MegaFon (Rússia)^[60]
• Ministério do Interior (Rússia)^[61]
• Ferrovias Russas^[62]
• BBVA (Espanha)^[63]
• Telefónica (Espanha)^[63]
• Sandvik (Suécia)^[50]
• Serviço Nacional de Saúde (Reino Unido)^[64]
• Nissan UK (Reino Unido)^[64]
• FedEx (Estados Unidos)^[65]

Interrupção da propagação

No dia 13 de Maio de 2017,^[66] um investigador sob o pseudónimo MalwareTech, que havia criado uma ferramenta para monitorar a propagação do ransomware em tempo real, encontrou por acidente um mecanismo de interrupção contido no código da ameaça, que permitia a prevenção da sua propagação através do contato com um domínio.^[67] No entanto, este mecanismo é interpretado como um erro por parte dos criminosos, e foi dado como expectável a criação de variantes sem este.^[68][69][70]

A identidade de MalwareTech foi revelada posteriormente: o surfista britânico Marcus Hutchins que trabalha na empresa Kryptos Logic.^[71]

Referências

1. «Customer Guidance for WannaCrypt attacks». MSRC (em inglês)
2. Fox-Brewster, Thomas. «An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak». Forbes
3. Woollaston, Victoria. «Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?». WIRED UK (em inglês)
4. «Ataque massivo do ransonware WannaCry afeta dezenas de países». GetCard Data Center. Consultado em 14 de maio de 2017
5. Online, SBackup (23 de maio de 2017). «Ransomware 7 Fatos sobre o WannaCry |». Consultado em 5 de outubro de 2022
6. «A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World». Motherboard (em inglês). Consultado em 13 de maio de 2017
7. Larson, Selena (12 de maio de 2017). «Massive ransomware attack hits 99 countries». CNNMoney. Consultado em 13 de maio de 2017
8. «Cyber-attack: Europol says it was unprecedented in scale». BBC News (em inglês). 13 de maio de 2017. Consultado em 13 de maio de 2017
9. «O que é WannaCry e como se proteger | Tech Mob». www.techmob.com.br. Consultado em 15 de maio de 2017
10. «NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history». The Telegraph (em inglês)
11. Collins, Keith. «Watch as these bitcoin wallets receive ransomware payments from the global cyberattack». Quartz (em inglês)
12. «Microsoft Security Bulletin MS17-010 – Critical». technet.microsoft.com. Consultado em 13 de maio de 2017
13. «Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser». MSPoweruser (em inglês). 13 de maio de 2017
14. «How to Accidentally Stop a Global Cyber Attacks». MalwareTech. 13 de maio de 2017
15. «WannaCry — The largest ransom-ware infection in History». Comae Technologies. 12 de maio de 2017
16. «Round Two: WannaCry Ransomware That Struck the Globe Is Back». Motherboard (em inglês). Consultado em 14 de maio de 2017
17. Khandelwal, Swati. «It's Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'». The Hacker News (em inglês). Consultado em 14 de maio de 2017
18. «actual ransom on Twitter». Twitter. The three bitcoin wallets tied to #wcry ransomware have received 139 payments totaling $38,747.87 USD.
19. «Cyber-attack: US and UK blame North Korea for WannaCry». BBC News (em inglês). 19 de dezembro de 2017. Consultado em 16 de fevereiro de 2024. Cópia arquivada em 8 de fevereiro de 2021
20. Muñoz, Ramón (12 de maio de 2017). «El Gobierno confirma un ciberataque masivo a empresas españolas». EL PAÍS (em espanhol)
21. Marsh, Sarah (12 de maio de 2017). «The NHS trusts hit by malware – full list». The Guardian (em inglês). ISSN 0261-3077
22. Menn, Joseph (17 de fevereiro de 2015). «Russian researchers expose breakthrough U.S. spying program». Reuters. Consultado em 24 de novembro de 2015
23. «NSA-leaking Shadow Brokers just dumped its most damaging release yet». Ars Technica (em inglês). Consultado em 15 de abril de 2017
24. «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017
25. «WannaCry ransomware used in widespread attacks all over the world - Securelist». securelist.com. Consultado em 15 de maio de 2017
26. «What you need to know about the WannaCry Ransomware». Symantec Security Response
27. «WCry/WanaCry Ransomware Technical Analysis | Endgame». www.endgame.com. Consultado em 15 de maio de 2017
28. Kroustek, Jakub (12 de maio de 2017). «Mais de 57.000 ataques de ransomware atingiram hoje a Telefonica e os hospitais NHS na Inglaterra». AVAST Software, Inc.
29. «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017
30. «What You Need to Know About WannaCry Now – Safe and Savvy Blog by F-Secure». Consultado em 15 de maio de 2017
31. «The worm that spreads WanaCrypt0r - Malwarebytes Labs | Malwarebytes Labs». blog.malwarebytes.com (em inglês). Consultado em 15 de maio de 2017
32. «Kafeine on Twitter». Twitter (em inglês). 12 de maio de 2017. WannaCry/WanaCrypt0r 2.0 is indeed triggering ET rule: 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"
33. «WannaCry / Wana Decryptor / WanaCrypt0r Technical Nose Dive». BleepingComputer (em inglês)
34. «Wannacrypt0r-FACTSHEET.md». Gist (em inglês). Consultado em 15 de maio de 2017
35. «Everything you need to know about the WannaCry / Wcry / WannaCrypt ransomware». Troy Hunt (em inglês). 13 de maio de 2017
36. «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017. Unlike most ransomware campaigns, which usually target specific regions, WCry is targeting systems around the globe. So it comes as no surprise that the ransomware authors provide localised ransomware message for more than 20 languages
37. «Wannacry Ransomware: recent cyber-attack». Europol (em inglês)
38. «Global cyberattack strikes dozens of countries, cripples U.K. hospitals» (em inglês)
39. «NHS cyber-attack: GPs and hospitals hit by ransomware». BBC News (em inglês). 13 de maio de 2017
40. «NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP». Motherboard (em inglês). Consultado em 14 de maio de 2017
41. «Windows XP End of Support». www.microsoft.com (em inglês). Consultado em 14 de maio de 2017
42. «Nissan's Sunderland factory latest victim of massive cyber attack». The Independent (em inglês). 13 de maio de 2017
43. Rosemain, Mathieu (13 de maio de 2017). «Renault stops production at several plants after ransomware attack». mirror
44. «PT/MEO alvo de ataque de ransomware (nova actualização)». Computerworld. 12 de maio de 2017. Consultado em 14 de maio de 2017
45. «Portugal Telecom afetada em ataque informático mundial». VISÃO. 12 de maio de 2017
46. «Portugal Telecom confirma ter sido alvo de ciber-ataque». RTP Notícias
47. «WannaCry no Brasil e no mundo». O Povo. 13 de maio de 2017. Consultado em 13 de maio de 2017
48. «WannaCry no Brasil e no mundo». O Povo. 13 de maio de 2017. Consultado em 13 de maio de 2017
49. «Ciberataque afeta computadores do hospital siriolibanes». 13 de maio de 2017. Consultado em 14 de maio de 2017
50. «Global cyber attack: A look at some prominent victims» (em espanhol). elperiodico.com. 13 de maio de 2017. Consultado em 14 de maio de 2017
51. «Instituto Nacional de Salud, entre víctimas de ciberataque mundial». 13 de maio de 2017
52. «France's Renault hit in worldwide 'ransomware' cyber attack» (em espanhol). france24.com. 13 de maio de 2017. Consultado em 13 de maio de 2017
53. «Weltweite Cyberattacke trifft Computer der Deutschen Bahn» (em alemão). faz.net. 13 de maio de 2017. Consultado em 13 de maio de 2017
54. Balogh, Csaba (12 de maio de 2017). «Ideért a baj: Magyarországra is elért az óriási kibertámadás». HVG (em húngaro). Consultado em 13 de maio de 2017
55. «Andhra police computers hit by cyberattack» (em inglês). Times of India. 13 de maio de 2017. Consultado em 13 de maio de 2017
56. «Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca» (em italiano). repubblica.it. 12 de maio de 2017. Consultado em 13 de maio de 2017
57. «PT Portugal alvo de ataque informático internacional». Observador. 12 de maio de 2017. Consultado em 13 de maio de 2017
58. (em romeno) «Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța». Pro TV. 13 de maio de 2017
59. (em romeno) «UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO». Libertatea. 12 de maio de 2017
60. «Massive cyber attack creates chaos around the world». news.com.au. Consultado em 13 de maio de 2017
61. «Researcher 'accidentally' stops spread of unprecedented global cyberattack». ABC News. Consultado em 13 de maio de 2017
62. «Компьютеры РЖД подверглись хакерской атаке и заражены вирусом». Radio Liberty. Consultado em 13 de maio de 2017
63. «Un ataque informático masivo con 'ransomware' afecta a medio mundo» (em espanhol). elperiodico.com. 12 de maio de 2017. Consultado em 13 de maio de 2017
64. «"Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France"» (em inglês). The Independent. 13 de maio de 2017. Consultado em 13 de maio de 2017
65. «What is Wannacry and how can it be stopped?» (em inglês). Ft.com. 12 de maio de 2017. Consultado em 13 de maio de 2017
66. «Blogueiro de segurança descobre como parar o WannaCry, mas e agora o que esperar? | GetCard Data Center». www.getcard.com.br. Consultado em 14 de maio de 2017
67. Solon, Olivia (13 de maio de 2017). «'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack». London. The Guardian. Consultado em 13 de maio de 2017
68. «Hacker encontra forma de parar onda de ataques que se espalhou pelo mundo - Olhar Digital»
70. Kan, Micael. «A 'kill switch' is slowing the spread of WannaCry ransomware». PC World. Consultado em 13 de maio de 2017
71. G1. Quem é o surfista de 22 anos que freou, do computador de seu quarto, o ciberataque mundial?. Acesso em 17 de maio de 2017