Ataques como do WannaCry são apenas o começo, dizem especialistas

Pesquisadores acreditam que outros ataques de ransomware começarão a explorar a mesma vulnerabilidade do Windows.

Milhares de organizações em todo o mundo foram pegas desprevenidas pelo ataque do ransomware WannaCry, ocorrido na sexta-feira, 12. Como o vírus se espalhou rapidamente, mais cibercriminosos agora estarão propensos a tentar lucrar com isso e vulnerabilidades similares.

Como um programa de ransomware, o WannaCry em si não é tão especial ou mais sofisticado que os demais. Na verdade, uma versão anterior do programa foi distribuída entre março e abril e, a julgar pela sua disseminação, seus criadores não são muito hábeis.

A diferença entre os ataques anteriores do WannaCry e o mais recente é a existência de um componente do tipo worm que infecta outros computadores explorando uma vulnerabilidade de execução crítica de código remoto na implementação do protocolo Server Message Block 1.0 (SMBv1) do Windows.

A Microsoft lançou um patch para essa vulnerabilidade em março e, na esteira do ataque de sexta-feira, chegou até a liberar correções para versões mais antigas do Windows que não são mais atualizadas, tais como Windows 8, Windows XP e Windows Server 2013.

Os hackers do WannaCry não tiveram muito trabalho também para construir o componente baseado no SMBv1, já que simplesmente adaptaram um kit de ataque existente vazado em abril por um grupo de cibercriminosos autodenominado Shadow Brokers. O kit, de codinome EternalBlue, fez parte do arsenal do Equation, grupo de cibercriminosos que, acredita-se, tem ligações com membros da equipe da Agência de Segurança Nacional dos EUA (NSA).

A versão do WannaCry que se propagou através do EternalBlue na sexta-feira tinha uma peculiaridade: tentou entrar em contato com um domínio não registrado e interrompido a ação quando conseguiu acessá-lo, impedindo a infecção. Um pesquisador que usa o apelido MalwareTech rapidamente percebeu que isso poderia ser usado como um “interruptor” do ataque e registrou o domínio para retardar a propagação do ransomware.

Desde então, pesquisadores descobriram mais duas versões: uma que tenta entrar em contato com um nome de domínio diferente — que os pesquisadores conseguiram também registrar e não tem nenhum recurso de interrupção de ataque aparente. No entanto, a última versão não está funcionando e parece ter sido um teste feito por alguém que remendou manualmente o binário para remover a chave de segurança, em vez de recompilá-lo do seu código-fonte original. Isto levou os pesquisadores a concluir que provavelmente não é um trabalho de hackers experientes.

Especialistas do fórum de suporte BleepingComputer.comdescobriram quatro imitações do WannaCry até agora. Esses programas estão em vários estágios de desenvolvimento e tentam disfarçar-se como WannaCry, embora alguns deles não sejam capazes de criptografar arquivos.

Isso indica que ataques, tanto dos autores WannaCry e como de outros cibercriminosos, provavelmente continuarão e, apesar de patches disponíveis, muitos sistemas provavelmente permanecerão vulneráveis por algum tempo. Afinal de contas, fornecedores de sistemas de segurança ainda estão analisando os ataques bem-sucedidos ao MS08-067, vulnerabilidade do Windows que permitiu que o worm Conficker se espalhasse há nove anos.

O estrategista chefe de segurança da Bitdefender, Catalin Cosoi, acredita que os ataques vão piorar antes de melhorar. “Vamos ter uma das mais graves ameaças nos próximos 12 meses”, disse ele em um post no blog sobre a vulnerabilidade o EternalBlue e os ataques em curso.

Cosoi acredita que grupos de cibercriminosos patrocinados por governos também poderiam aproveitar a falha no protocolo SMBv1 para instalar backdoors em computadores enquanto os especialistas em segurança estão ocupados lidando com o ataque do WannaCry.

A BinaryEdge, empresa de segurança especializada em análises de toda a internet, detectou mais de 1 milhão sistemas Windows que têm o SMB exposto na internet. O número é consideravelmente superior às 200 mil máquinas afetadas pelo WannaCry, então há potencial para mais ataques e vítimas.

O sucesso do WannaCry mostrou que um grande número de organizações está relegando as atualizações de correções, sendo que muitas deles têm versões antigas do Windows. Em certa medida, isto é compreensível porque implantar patches em ambientes com um grande número de sistemas não é uma tarefa fácil. As empresas precisam testar os patches antes de instalá-los para garantir que não têm problemas de compatibilidade com aplicativos existentes ou possam interromper fluxos de trabalho existentes.

Em outros casos, as organizações podem estar presas a certos sistemas que executam versões do Windows sem suporte e não têm recursos financeiros para atualizar ou substitui-los. Este é o caso de caixas eletrônicos, dispositivos médicos, máquinas de tíquetes, quiosques de autoatendimento, como aqueles em aeroportos e até mesmo servidores que executam aplicativos legados que não podem facilmente ser redesenhados.

O sucesso do WannaCry revela que existem muitos sistemas vulneráveis em redes corporativas que podem ser atacados por meio de velhas façanhas. É possível que os cibercriminosos tentem usar outras táticas do Equation/NSA vazadas pelo Shadow Brokers ou serão mais rápidos adotar outras façanhas para futuras falhas que permitem ataques similares, em grande escala, em redes locais (LANs).