Contato
Quem Somos
Quero Patrocinar

Após um ano, WannaCry ainda prevalece

Testes de penetração devem ser conduzidos algumas vezes por ano e são uma ótima maneira para que as organizações vejam onde estão seus pontos fracos e o que os cibercriminosos poderiam explorar no universo online e offline

Compartilhar:

Em 12 de maio de 2017, o maior ataque de ransomware da história começou. Conhecido como “WannaCry”, o agora infame ransomware se espalhou como um incêndio e afetou indiscriminadamente PCs em todo o mundo, incluindo aqueles que pertenciam a consumidores, empresas, hospitais e até departamentos governamentais. Um ano depois, o malware WannaCry, que explora a vulnerabilidade EternalBlue, ainda prevalece. Tudo indica que a mais recente vítima deste tipo de ataque é a fabricante de aeronaves Boeing.

 

A intenção por trás do ataque inicial do WannaCry parece ter sido causar danos, pois teria sido realizada por uma nação e não por criminosos em busca de ganhos financeiros – que tradicionalmente têm sido a principal motivação dos ataques de ransomware. No final de 2017, o governo dos EUA atribuiu o ataque à Coreia do Norte. Com um código falho, incluindo o componente de pagamento, estima-se que os agentes por trás do WannaCry tenham embolsado cerca de US$ 140.000 no final de agosto. Este montante somado a dois ou tantos outros Bitcoins que eles ganharam após o saque, o qual pode ser visto em três endereços de Bitcoin* altamente codificados nos executáveis ​​do WannaCry, ainda é baixo considerando a enorme quantidade de PCs infectados.

 

O sucesso do WannaCry se resume a três principais fatores: o ransomware explorou uma vulnerabilidade que prevalecia em muitos PCs, os quais executavam sistemas operacionais mais antigos; esses sistemas operacionais mais antigos estavam amplamente sem suporte e, portanto, vulneráveis ​​à exploração; nenhuma ação do usuário foi necessária para que o ataque fosse disseminado, pois o ransomware se espalhou como uma praga. No entanto, desde o momento em que o dano foi causado, a Avast tem investigado o WannaCry e os ataques subsequentes com o objetivo de coletar insights que podem ajudar a entender o que precisa ser feito, para evitar que esse tipo de ciberataque aconteça novamente.

 

Uso de patches fracos tornou possível o WannaCry

 

O WannaCry se espalhou de maneira agressiva usando a vulnerabilidade EternalBlue do Windows ou MS17-010, infectando os computadores sem que fossem necessárias interações dos usuários. O EternalBlue é um bug crítico no código do Windows da Microsoft, tão antigo quanto o Windows XP. A vulnerabilidade permite que os cibercriminosos executem o código remotamente, criando uma requisição para o Windows File e o Printer Sharing. Quando ativo em um PC, o malware WannaCry é capaz de escanear o local e a sub-rede, e escolher aleatoriamente endereços IP. Ao encontrar um PC vulnerável, o ransomware também se espalha para esse PC devido às suas funcionalidades.

 

Os relatórios indicam que o ransomware provavelmente foi descoberto pela NSA, a qual o nomeou como “EternalBlue”, o manteve em segredo e depois criou uma backdoor para explorá-lo. Um grupo de cibercriminosos chamado ShadowBrokers tornou pública essa exploração um mês antes do surto do WannaCry. A Microsoft lançou um patch para o EternalBlue em março do último ano, dois meses antes do golpe do WannaCry. No entanto, o WannaCry atacou com sucesso centenas de milhões de usuários, porque as pessoas não adotaram esse patch específico para a vulnerabilidade EternalBlue.

 

Outros ataques que usaram o EternalBlue

 

Além do WannaCry, outros tipos de ransomware como o NotPetya usaram a vulnerabilidade EternalBlue. Além do EternalBlue ser utilizado para distribuir ransomware, outras variantes de malware também fizeram uso desse mecanismo. Talvez os mais notáveis ​​sejam o Adylkuzz, um malware de mineração de criptomoedas, e o Retefe, um trojan bancário. A vulnerabilidade tem sido usada por vários grupos de cibercriminosos vinculados à nações interessadas, por exemplo, na coleta de senhas. Adicionalmente, continua sendo uma ferramenta útil para que as pessoas maliciosas espalhem ou mirem o malware.

 

Se ao menos houvesse um patch para o patch fraco adotado…

 

As notícias do WannaCry foram publicadas por quase todos os principais meios de comunicação do mundo, o que significa que as informações sobre o ataque chegou a todas as partes. Apesar da atenção generalizada ao WannaCry e dos efeitos devastadores que causou às empresas e aos consumidores, as pessoas ainda não conseguiram reparar seus sistemas. Isso levanta uma questão: por que os usuários não estão fazendo esse reparo? É possível adivinhar quais são as razões mais prováveis.

 

Em primeiro lugar, pode ser devido à falta de compreensão com relação aos patches ou às atualizações de softwares: o que são, o que fazem e porque são importantes. Em média, o consumidor pode não estar totalmente ciente de que os sistemas contêm vulnerabilidades e que os cibercriminosos podem explorá-las para espalhar malware. Depois que as vulnerabilidades são encontradas, os desenvolvedores de software normalmente emitem um patch para corrigir o problema. O impacto do WannaCry poderia ter sido ainda menor se mais consumidores e profissionais de TI baixassem o patch MS17-010, assim que a Microsoft o tornou disponível.

 

A segunda razão para a adoção de patches fracos é que os consumidores não gostam de interrupções. A correção de um sistema ou programa exige que os usuários interrompam o que estão fazendo e aguardem o download do patch. As atualizações do Windows geralmente são realizadas na reinicialização do sistema, fazendo com que os usuários esperem por alguns minutos antes de utilizarem o computador, o que pode desencorajá-los a realizar as devidas atualizações em seus sistemas de forma voluntária. Outro motivo pelo qual as pessoas podem não atualizar o sistema é a resistência às mudanças. As atualizações do sistema operacional ou do programa podem alterar ambientes e interfaces já familiares, o que nem sempre é bem-vindo por todos os usuários.

 

Em terceiro lugar, empresas e organizações como o Serviço Nacional de Saúde (NHS) do Reino Unido podem inserir as atualizações do sistema em um cronograma que se encaixa às suas atividades, pois podem potencialmente interromper seus serviços. Para uma organização da área de saúde como o NHS, pode ainda ser necessário reduzir as atividades enquanto a atualização é realizada. Nesses casos, o equilíbrio é ponderado entre o risco de não aplicar os patches e a interrupção esperada quando a atualização do patch é feita.

 

Por último, alguns sistemas não foram corrigidos quando o WannaCry foi disseminado. Isto porque os sistemas mais antigos, como o Windows XP, não tinham o devido suporte e, portanto, eram indefesos.

 

Patch perfeito – o que a indústria de tecnologia deve fazer para melhorar

 

Para melhorar a adoção de patches, a indústria de tecnologia precisa trabalhar de forma unida para aumentar a conscientização a respeito dos patches, sua finalidade, os problemas que podem reparar e os possíveis ataques que podem evitar. É preciso agir coletivamente e encontrar uma maneira melhor para explicar a finalidade dos patches através de termos simples, que descrevem sua importância assim que criados e estiverem prontos para atualizações. Embora seja relevante não causar alarmes, as pessoas podem ser mais propensas às correções se perceberem que há um problema que poderia afetá-las ou impactar negativamente o seu sistema.

 

O desafio de comunicar as atualizações necessárias está atingindo uma base de usuários extremamente variável que, cada vez mais, tem suas próprias prioridades diferentes – e, neste contexto, a correção imediata nem sempre está entre elas. Assim como a indústria de tecnologia tem trabalhado ao longo dos anos para construir a conscientização sobre essas medidas de segurança digital na mente dos usuários, agora, é preciso trabalhar para educar e desenvolver a compreensão sobre a importância do patch como parte de um kit de ferramentas de segurança essencial nos dias de hoje. A combinação dessas duas frentes gera uma poderosa barreira para o cibercrime.

 

Embora desenvolvedores de software já estejam trabalhando na experiência do usuário, sempre há espaço para melhorias. Aumentar a consciência sobre os patches e a razão por trás deles não é o suficiente para os usuários. A inconveniência associada aos patches precisa diminuir. Isso pode ser feito através da atualização em segundo plano ou em doses menores, ou simplesmente tornando as pessoas mais conscientes das opções, como as atualizações noturnas.

 

Por fim, os desenvolvedores de software devem considerar que os seus sistemas podem ter uma vida útil além da prevista, graças a um hardware robusto e um suporte contínuo requerido. O Windows XP, por exemplo, ainda está sendo usado por 4,3% dos usuários da Avast e o Windows Vista por 1,5% dessa base, mesmo que a Microsoft não forneça mais o suporte para esses sistemas operacionais populares.

 

Quando se olha para o futuro, é possível ver que o patch de segurança não é apenas vital para PCs, mas também para os dispositivos IoT (Internet das Coisas). À medida que a conectividade aumenta e se torna um dos pilares da vida cotidiana, é importante notar que muitos dispositivos IoT geralmente são fracos quando o assunto é a segurança e, frequentemente, o seu software não é suportado além dos dois primeiros anos de vida. Os dispositivos IoT, por menores que sejam e tão simples quanto seus softwares, podem ser usados ​​por cibercriminosos para realizar diversos tipos de ataques, não apenas contra os próprios dispositivos, mas para causar danos a outros sistemas.

 

Atualizações de segurança

 

Infelizmente, existe um lado crítico nas atualizações que é vista pelos cibercriminosos como um meio para a distribuição em massa de malware. Esse tipo de ataque é chamado de “ataque na cadeia de fornecimento”, onde os cibercriminosos injetam um código malicioso em um componente que pode ser uma biblioteca ou um fragmento de código de um aplicativo comercial legítimo numa plataforma aberta. À medida que os usuários instalam ou atualizam os aplicativos afetados, eles também infectam seus sistemas com o payload malicioso. Os meios tradicionais para espalhar malwares estão se tornando caros e mais difíceis para os cibercriminosos, devido às recentes inovações no setor de segurança, fazendo com que eles se voltem aos ataques da cadeia de suprimentos.

 

A proteção contra os ataques da cadeia de suprimentos é uma tarefa complexa para as empresas e, mais ainda, para os desenvolvedores de software independentes. Para proteger os arquivos e atualizações dos produtos instalados, em primeiro lugar, os desenvolvedores de software precisam usar soluções adequadas de segurança da informação. É relevante considerar a segurança rígida e as regras de rede na construção da infraestrutura do patch, como uma rede isolada operando uma solução de segurança para usuários finais, limitando o acesso a ela e aos serviços que podem ser executados nos dispositivos conectados. O monitoramento de anomalias da rede é crucial e pode ajudar as empresas a identificar terceiros indesejados navegando em seus ambientes.

 

As companhias precisam levar a sério a educação em cibersegurança dos funcionários e o gerenciamento de patches. Os seres humanos cometem erros e os cibercriminosos gostam de explorá-los, tornando vital garantir que os funcionários estejam cientes das melhores práticas de segurança e que as organizações limitem adequadamente os direitos de acesso. Testes de penetração devem ser conduzidos algumas vezes por ano e são uma ótima maneira para que as organizações vejam onde estão seus pontos fracos e o que os cibercriminosos poderiam explorar no universo online e offline.

 

Os consumidores se beneficiam ao receber informações educacionais sobre a segurança em dispositivos pessoais e o papel dos patches. Embora os usuários não tenham ferramentas comerciais, nas quais possam confiar quando identificarem seus pontos fracos, há outros serviços disponíveis que podem ajudá-los a garantir a segurança dos seus dispositivos.

 

Por fim, fica claro que o setor de tecnologia não pode esperar que os usuários compreendam completamente e realizem as práticas recomendadas de segurança por conta própria. Os usuários precisam de apoio e educação com relação à segurança, além de orientações através de passos necessários para tornar suas experiências mais simples, fáceis e confortáveis. Ao mesmo tempo, os distribuidores de software precisam assegurar que as atualizações que enviam aos seus clientes estejam limpas. Se isso puder ser feito, então a contribuição dos usuários e do setor de tecnologia no geral com pesquisadores e empresas de segurança pode ser realmente uma poderosa arma na luta contra o malware. Embora ainda não se saiba qual impacto o próximo WannaCry possa causar, com base nesses insights críticos do último ano fica claro que o setor de tecnologia em colaboração com os usuários, precisa fazer mais para impedir que um ataque massivo volte a acontecer.

 

*Por Ondrej Vlcek, CTO da Avast 

Destaques

Ataque Cibernético derruba site de prefeitura no Piauí

Ataques cibernéticos mirando OT aumentam em 2023

Microsoft é novamente a marca mais imitada por phishing

Pesquisa aponta que 18% do tráfego na Web não é humano

Cisco aposta na proteção de nuvem com novas usabilidades da IA

Polícia Federal interrompe emissão de passaportes por tentativa de ciberataque

Colunas & Blogs

Avatar photo
Urgência na Proatividade: Uma Análise dos Principais Motivadores para Investimentos em SI na visão dos CISOs
Alex Amorim
Avatar photo
Minha organização foi invadida. E agora?
Fabio Correa Xavier
Avatar photo
Caminhada (Não tão) solitária rumo à Segurança Digital
Rodrigo Jorge
Avatar photo
Práticas recomendadas para proteger cargas de trabalho na nuvem
Luiz Firmino
Avatar photo
A caminho de uma Guerra Cibernética Mundial
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
Crimes cibernéticos: a personalização de ataques usando IA e ransomware
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Destaques

Ataque Cibernético derruba site de prefeitura no Piauí

Em nota divulgada por meio das redes sociais, a prefeitura do município de Pedro II informou que um incidente cibernético...
Leia Mais
  • Matheus Bracco
  • abril 19, 2024
Security Report | Destaques

Cisco aposta na proteção de nuvem com novas usabilidades da IA

Durante encontro com jornalistas no Cisco Engage Brasil 2024, a empresa tratou dos próximos passos de diálogo com o setor...
Leia Mais
  • Bruno Silva
  • abril 18, 2024
Security Report | Destaques

Polícia Federal interrompe emissão de passaportes por tentativa de ciberataque

Em nota publicada hoje (18) no site oficial, a autoridade policial informa que o incidente ocorreu ainda no começo dessa...
Leia Mais
  • Matheus Bracco
  • abril 18, 2024
Security Report | Destaques

Maioria dos bancos tem a Cibersegurança como prioridade estratégica, afirma Febraban

1º volume da Pesquisa Febraban de Tecnologia Bancária 2024, realizada pela Deloitte, mostra que montante investido em TI dobrou em...
Leia Mais
  • Redação
  • abril 18, 2024

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit