Saltar para o conteúdo

WannaCry

Origem: Wikipédia, a enciclopédia livre.
A versão imprimível já não suportada e pode apresentar defeitos de composição gráfica. Atualize os favoritos do seu navegador e use a função de impressão padrão do navegador.
WanaCrypt0r 2.0
Captura de tela
WannaCry
Ransomware WannaCry em ação
Escrito em C++
Sistema operacional Microsoft Windows
Gênero(s) Ransomware

Na informática, o WannaCry, também chamado WCry, WCrypt, WanaCrypt0r 2.0, Wanna Decryptor 2.0.[1][2][3][4][5]é um crypto-ransomware (um malware) que afeta o sistema operativo Microsoft Windows desatualizado. A sua difusão em larga escala iniciou-se em 2017 infectando mais de 230 mil sistemas,[6][7] dentre operadoras de telecomunicações, empresas de transportes, organizações governamentais, bancos e universidades.[8] Com impacto qualificado como «sem precedentes».[8][9]

A ameaça utiliza técnicas de exploração alegadamente desenvolvidas pela Agência de Segurança Nacional[10][11] dos Estados Unidos. Uma correção crítica para a vulnerabilidade (em sistemas operativos com suporte) foi publicada a 14 de março de 2017.[12] Atualizações de segurança para Windows XP e Server 2003, não suportados pela empresa Microsoft, foram também lançadas em resposta a esta ameaça.[13]

Após o início da sua propagação, um investigador[14] permitiu inadvertidamente uma estabilização do número de infeções,[15] ao qual se seguiu pouco depois o surgimento de variantes que contornam a técnica utilizada para a prevenção da infeção.[16][17] Os três endereços bitcoin incorporados no software malicioso foram monitorizados através de um bot.[11] A 14 de maio de 2017, os resgates pagos totalizavam cerca de 33.000 dólares.[18]

Em dezembro de 2017, os Estados Unidos e o Reino Unido afirmaram formalmente que a Coreia do Norte estava por trás do ataque, embora os norte-coreanos tenham negado qualquer envolvimento no ataque.[19]

Infecção

A difusão do WannaCry em larga escala iniciou-se a 12 de maio de 2017 infectando mais de 230 mil sistemas.[6][7] Organizações como a Telefónica[20] e o Serviço Nacional de Saúde britânico[21] foram afetadas, juntamente com outras operadoras de telecomunicações, empresas de transportes, organizações governamentais, bancos e universidades.[8] O Centro de Cibersegurança Europeu (Europol) qualificou o seu impacto como «sem precedentes».[8][9]

A divulgação de exploits pelo grupo The Shadow Brokers a 14 de abril de 2017[22][23] levou ao lançamento de uma correção crítica pela Microsoft em maio de 2017.[12] A técnica de exploração utilizada pelo malware deve-se a uma vulnerabilidade (EternalBlue/MS17-010) referente ao protocolo Server Message Block (SMBv1[24] e SMBv2[25][26]) que permite a execução de código remoto ou, em alternativa, a um backdoor (DOUBLEPULSAR).[27][15]

O ransomware foi detectado pela primeira vez no início de fevereiro de 2017.[28][29] A ameaça propaga-se através de um anexo de correio eletrônico ou através de outros computadores comprometidos na mesma rede graças a um executável, com características de worm,[30][31] que procura replicar-se por servidores Windows que estejam acessíveis através da porta 445.[32][33] Após ganhar acesso a um sistema, procede à sua replicação e execução, tentando depois a ligação a um domínio na Internet.[15] Caso esta ligação seja bem-sucedida, o processo é terminado sem que a sua componente de ransomware seja executada. Em caso contrário, um ficheiro comprimido e protegido por palavra-passe é extraído para o sistema e executado.[15] A ameaça procede depois à extração de um cliente TOR, para a comunicação com os servidores de comando e controlo;[34] e à alteração de privilégios do utilizador de modo a facilitar a criptografia dos dados.

Após a encriptação dos dados, serviços relacionados com a recuperação de dados e restauro do sistema são desativados pelo ransomware. Como acontece com ameaças semelhantes, é exigido o resgate dos dados através do pagamento de $300 em bitcoin num prazo de três dias, e com a ameaça de destruição dos dados caso esta quantia não seja paga.[35] A mensagem foi traduzida para mais de vinte idiomas.[36]

Em 17 de Julho de 2017 aconteceu um ataque cibernético em grande escala, em cidades do Brasil e mundo.

Impacto

Europa

O Centro de Cibersegurança Europeu (Europol), notou o nível «sem precedentes» do acontecimento e a necessidade de uma «investigação internacional complexa que permita identificar os culpados».[37] As repercussões desta ameaça foram sentidas particularmente no Reino Unido, onde o Serviço Nacional de Saúde se viu obrigado a cancelar consultas não-urgentes e a desviar ambulâncias.[38][39] A organização viu-se fortemente afetada graças à presença de numerosos sistemas com Windows XP,[40] cujo suporte havia terminado em abril de 2014.[41]

Foi também noticiada a paragem, no mesmo país, da linha de produção de uma fábrica pertencente à companhia automóvel Nissan e de outra, em França, pertencente à Renault.[42][43]

Em Portugal, as empresas afetadas, entre as quais a Portugal Telecom e a EDP, decidiram ativar os seus planos de segurança, restringindo o acesso ou desligando as suas redes internas.[44][45] Por sua parte, a Polícia Judiciária deu início a investigações ao sucedido.[46]

Organizações afetadas

Interrupção da propagação

No dia 13 de Maio de 2017,[66] um investigador sob o pseudónimo MalwareTech, que havia criado uma ferramenta para monitorar a propagação do ransomware em tempo real, encontrou por acidente um mecanismo de interrupção contido no código da ameaça, que permitia a prevenção da sua propagação através do contato com um domínio.[67] No entanto, este mecanismo é interpretado como um erro por parte dos criminosos, e foi dado como expectável a criação de variantes sem este.[68][69][70]

A identidade de MalwareTech foi revelada posteriormente: o surfista britânico Marcus Hutchins que trabalha na empresa Kryptos Logic.[71]

Referências

  1. «Customer Guidance for WannaCrypt attacks». MSRC (em inglês) 
  2. Fox-Brewster, Thomas. «An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak». Forbes 
  3. Woollaston, Victoria. «Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?». WIRED UK (em inglês) 
  4. «Ataque massivo do ransonware WannaCry afeta dezenas de países». GetCard Data Center. Consultado em 14 de maio de 2017 
  5. Online, SBackup (23 de maio de 2017). «Ransomware 7 Fatos sobre o WannaCry |». Consultado em 5 de outubro de 2022 
  6. a b «A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World». Motherboard (em inglês). Consultado em 13 de maio de 2017 
  7. a b Larson, Selena (12 de maio de 2017). «Massive ransomware attack hits 99 countries». CNNMoney. Consultado em 13 de maio de 2017 
  8. a b c d «Cyber-attack: Europol says it was unprecedented in scale». BBC News (em inglês). 13 de maio de 2017. Consultado em 13 de maio de 2017 
  9. a b «O que é WannaCry e como se proteger | Tech Mob». www.techmob.com.br. Consultado em 15 de maio de 2017 
  10. «NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history». The Telegraph (em inglês) 
  11. a b Collins, Keith. «Watch as these bitcoin wallets receive ransomware payments from the global cyberattack». Quartz (em inglês) 
  12. a b «Microsoft Security Bulletin MS17-010 – Critical». technet.microsoft.com. Consultado em 13 de maio de 2017 
  13. «Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser». MSPoweruser (em inglês). 13 de maio de 2017 
  14. «How to Accidentally Stop a Global Cyber Attacks». MalwareTech. 13 de maio de 2017 
  15. a b c d «WannaCry — The largest ransom-ware infection in History». Comae Technologies. 12 de maio de 2017 
  16. «Round Two: WannaCry Ransomware That Struck the Globe Is Back». Motherboard (em inglês). Consultado em 14 de maio de 2017 
  17. Khandelwal, Swati. «It's Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'». The Hacker News (em inglês). Consultado em 14 de maio de 2017 
  18. «actual ransom on Twitter». Twitter. The three bitcoin wallets tied to #wcry ransomware have received 139 payments totaling $38,747.87 USD. 
  19. «Cyber-attack: US and UK blame North Korea for WannaCry». BBC News (em inglês). 19 de dezembro de 2017. Consultado em 16 de fevereiro de 2024. Cópia arquivada em 8 de fevereiro de 2021 
  20. Muñoz, Ramón (12 de maio de 2017). «El Gobierno confirma un ciberataque masivo a empresas españolas». EL PAÍS (em espanhol) 
  21. Marsh, Sarah (12 de maio de 2017). «The NHS trusts hit by malware – full list». The Guardian (em inglês). ISSN 0261-3077 
  22. Menn, Joseph (17 de fevereiro de 2015). «Russian researchers expose breakthrough U.S. spying program». Reuters. Consultado em 24 de novembro de 2015 
  23. «NSA-leaking Shadow Brokers just dumped its most damaging release yet». Ars Technica (em inglês). Consultado em 15 de abril de 2017 
  24. «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017 
  25. «WannaCry ransomware used in widespread attacks all over the world - Securelist». securelist.com. Consultado em 15 de maio de 2017 
  26. «What you need to know about the WannaCry Ransomware». Symantec Security Response 
  27. «WCry/WanaCry Ransomware Technical Analysis | Endgame». www.endgame.com. Consultado em 15 de maio de 2017 
  28. Kroustek, Jakub (12 de maio de 2017). «Mais de 57.000 ataques de ransomware atingiram hoje a Telefonica e os hospitais NHS na Inglaterra». AVAST Software, Inc. 
  29. «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017 
  30. «What You Need to Know About WannaCry Now – Safe and Savvy Blog by F-Secure». Consultado em 15 de maio de 2017 
  31. «The worm that spreads WanaCrypt0r - Malwarebytes Labs | Malwarebytes Labs». blog.malwarebytes.com (em inglês). Consultado em 15 de maio de 2017 
  32. «Kafeine on Twitter». Twitter (em inglês). 12 de maio de 2017. WannaCry/WanaCrypt0r 2.0 is indeed triggering ET rule: 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response" 
  33. «WannaCry / Wana Decryptor / WanaCrypt0r Technical Nose Dive». BleepingComputer (em inglês) 
  34. «Wannacrypt0r-FACTSHEET.md». Gist (em inglês). Consultado em 15 de maio de 2017 
  35. «Everything you need to know about the WannaCry / Wcry / WannaCrypt ransomware». Troy Hunt (em inglês). 13 de maio de 2017 
  36. «Global WannaCry ransomware outbreak uses known NSA exploits». Emsisoft. 12 de maio de 2017. Consultado em 14 de maio de 2017. Unlike most ransomware campaigns, which usually target specific regions, WCry is targeting systems around the globe. So it comes as no surprise that the ransomware authors provide localised ransomware message for more than 20 languages 
  37. «Wannacry Ransomware: recent cyber-attack». Europol (em inglês) 
  38. «Global cyberattack strikes dozens of countries, cripples U.K. hospitals» (em inglês) 
  39. «NHS cyber-attack: GPs and hospitals hit by ransomware». BBC News (em inglês). 13 de maio de 2017 
  40. «NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP». Motherboard (em inglês). Consultado em 14 de maio de 2017 
  41. «Windows XP End of Support». www.microsoft.com (em inglês). Consultado em 14 de maio de 2017 
  42. «Nissan's Sunderland factory latest victim of massive cyber attack». The Independent (em inglês). 13 de maio de 2017 
  43. Rosemain, Mathieu (13 de maio de 2017). «Renault stops production at several plants after ransomware attack». mirror 
  44. «PT/MEO alvo de ataque de ransomware (nova actualização)». Computerworld. 12 de maio de 2017. Consultado em 14 de maio de 2017 
  45. «Portugal Telecom afetada em ataque informático mundial». VISÃO. 12 de maio de 2017 
  46. «Portugal Telecom confirma ter sido alvo de ciber-ataque». RTP Notícias 
  47. «WannaCry no Brasil e no mundo». O Povo. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  48. «WannaCry no Brasil e no mundo». O Povo. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  49. «Ciberataque afeta computadores do hospital siriolibanes». 13 de maio de 2017. Consultado em 14 de maio de 2017 
  50. a b c d «Global cyber attack: A look at some prominent victims» (em espanhol). elperiodico.com. 13 de maio de 2017. Consultado em 14 de maio de 2017 
  51. «Instituto Nacional de Salud, entre víctimas de ciberataque mundial». 13 de maio de 2017 
  52. «France's Renault hit in worldwide 'ransomware' cyber attack» (em espanhol). france24.com. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  53. «Weltweite Cyberattacke trifft Computer der Deutschen Bahn» (em alemão). faz.net. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  54. Balogh, Csaba (12 de maio de 2017). «Ideért a baj: Magyarországra is elért az óriási kibertámadás». HVG (em húngaro). Consultado em 13 de maio de 2017 
  55. «Andhra police computers hit by cyberattack» (em inglês). Times of India. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  56. «Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca» (em italiano). repubblica.it. 12 de maio de 2017. Consultado em 13 de maio de 2017 
  57. «PT Portugal alvo de ataque informático internacional». Observador. 12 de maio de 2017. Consultado em 13 de maio de 2017 
  58. (em romeno) «Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța». Pro TV. 13 de maio de 2017 
  59. (em romeno) «UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO». Libertatea. 12 de maio de 2017 
  60. «Massive cyber attack creates chaos around the world». news.com.au. Consultado em 13 de maio de 2017 
  61. «Researcher 'accidentally' stops spread of unprecedented global cyberattack». ABC News. Consultado em 13 de maio de 2017 
  62. «Компьютеры РЖД подверглись хакерской атаке и заражены вирусом». Radio Liberty. Consultado em 13 de maio de 2017 
  63. a b «Un ataque informático masivo con 'ransomware' afecta a medio mundo» (em espanhol). elperiodico.com. 12 de maio de 2017. Consultado em 13 de maio de 2017 
  64. a b «"Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France"» (em inglês). The Independent. 13 de maio de 2017. Consultado em 13 de maio de 2017 
  65. «What is Wannacry and how can it be stopped?» (em inglês). Ft.com. 12 de maio de 2017. Consultado em 13 de maio de 2017 
  66. «Blogueiro de segurança descobre como parar o WannaCry, mas e agora o que esperar? | GetCard Data Center». www.getcard.com.br. Consultado em 14 de maio de 2017 
  67. Solon, Olivia (13 de maio de 2017). «'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack». London. The Guardian. Consultado em 13 de maio de 2017 
  68. «Hacker encontra forma de parar onda de ataques que se espalhou pelo mundo - Olhar Digital» 
  69. [1]
  70. Kan, Micael. «A 'kill switch' is slowing the spread of WannaCry ransomware». PC World. Consultado em 13 de maio de 2017 
  71. G1. Quem é o surfista de 22 anos que freou, do computador de seu quarto, o ciberataque mundial?. Acesso em 17 de maio de 2017

Ligações externas