Como o ransomware WannaCry avançou durante o fim de semana
O ciberataque com o ransomware WannaCry que começou na última sexta-feira (12) continuou avançando durante o final de semana, apesar da nova correção lançada pela Microsoft. O ataque criptografa todos os arquivos do Windows, se espalha entre os computadores ligados numa mesma rede local e exige o pagamento de US$ 300 em bitcoins. Segundo o diretor do serviço europeu de polícia Europol, Rob Wainwright, 200 mil máquinas em pelo menos 150 países foram atingidas.
• Tudo o que sabemos sobre o ciberataque que comprometeu sistemas de todo o mundo
Dados do Centro de Inteligência de Ameaças da Qihoo 360, uma empresa chinesa de serviços de segurança na internet, mostram que mais de 29 mil instituições do país asiático foram afetadas, principalmente universidades e instituições educacionais. Estações ferroviárias, entregas do correio, postos de gasolina, hospitais, prédios de escritórios, shoppings e serviços governamentais também estavam no pacote. A japonesa Nissan, por exemplo, confirmou nesta segunda-feira (15) que algumas unidades tinham sido alvo do ransomware, mas não houve grande impacto sobre o seu negócio. No Brasil, o Tribunal de Justiça de São Paulo, todo o Instituto Nacional do Seguro Social (INSS), outros órgãos governamentais e diversas empresas foram afetadas de algum modo na sexta.
Here is a video showing a machine on the left infected with MS17-010 worm, spreading WCry ransomware to machine on the right in real time. pic.twitter.com/cOIC06Wygf
— Hacker Fantastic (@hackerfantastic) 13 de maio de 2017
Vídeo mostrando uma máquina na esquerda infectada com o worm MS17-010, espalhando o ransomware WCry para a máquina na direita em tempo real
No geral, o prejuízo maior foi de produtividade – muitas organizações ficaram de braços cruzados e com máquinas desligadas, como precaução – já que os hackers não conseguiram arrecadar muita grana, pelo menos até agora. O respeitado analista de segurança Brian Krebs publicou em seu blog no sábado que os criminosos tinham conseguido US$ 26 mil. Do blog:
De acordo com a nota detalhada a respeito do ransomware Wana publicado na sexta-feira pela empresa de segurança Redsocks, o Wana possui três endereços de pagamento por Bitcoin que estão incorporados ao malware. Uma das coisas mais legais sobre a Bitcoin é que qualquer pessoa pode ver o histórico de transações ligados a um endereço de pagamento. Com isso, é possível saber quanto os criminosos conseguiram ganhar até agora e quantas vítimas pagaram pelo resgate.
Um site feito pelo grupo brasileiro 318br está monitorando essas carteiras e mostra que, até o momento desta publicação, já foram pagos pouco mais que 30 Bitcoins, totalizando US$ 53 mil (ou R$ 165 mil). Acontece que outras versões do vírus, com outras carteiras, podem estar se espalhando – o que dificulta o monitoramento preciso dos valores.
A falha que permite o funcionamento do WannaCry ficou conhecida após o vazamento de ferramentas sigilosas usadas pela NSA (Agência de Segurança Nacional), pelo grupo hacker “Shadow Brokers”. Estimativas de 2012 mostram que apenas 3% das pessoas pagam o resgate quando são vítimas de ransomware, mas esse número vem crescendo consideravelmente segundo novos relatórios, chegando a quase 50%. Pesquisadores do Crypsis Group afirmam que a quantia média solicitada por um resgate é de US$ 7 mil.
O estrago poderia ser um pouco maior. Um pesquisador de segurança do Reino Unido que se identifica como MalwareTech acabou descobrindo por acaso uma maneira de impedir que o WannaCry se espalhasse. Ao analisar o malware, o rapaz viu que ao iniciar o ataque a um novo objetivo, o vírus acionava um domínio que consistia numa grande quantidade de caracteres. Ele registrou o endereço na NameCheap.com por US$ 10,69 (cerca de R$ 35), e imediatamente passou a receber inúmeras requisições de conexão. Ele acredita que este fator existia como uma medida para manter o WannaCry sob controle.
Como era de se esperar, essa “chave de segurança” não funciona mais. Os hackers já começaram a espalhar uma outra versão do vírus, que não contém essa brecha para impedi-lo. A melhor forma de se proteger é atualizando o Windows e aplicando as correções liberadas pela Microsoft nas versões que já não possuem suporte.
Neste link estão informações sobre as versões e edições do Windows que foram afetadas e detalhes sobre como corrigir a brecha – chamada de EternalBlue – que permite a instalação e propagação do WannaCry. Aqui você pode conferir as instruções para rever e instalar atualizações de alta prioridade no seu computador. A Microsoft decidiu liberou aqui a correção para versões do Windows que já perderam suporte, como Windows XP, Windows 8 e Windows Server 2003.
Imagem do topo: MalwareHunterTeam