74 países foram atingidos pelo ramsoware WannaCrypt através de uma ferramenta roubada da NSA: Microsoft havia liberado correções em março

0

WannaCrypt ransomware worm, também conhecido como WanaCrypt ou Wcry, explodiu em 74 países, já atualizado para 104, infectando sistemas de hospitais, empresas, incluindo a Fedex, estações ferroviárias, universidades, pelo menos uma telecom, a Telefonica e mais organizações.

Em resposta, a Microsoft lançou patches de segurança de emergência para a defesa contra o malware para as versões sem suporte do Windows, como XP e Server 2003, bem como compilações modernas.

Lembrando que a Microsoft liberou a atualização de segurança MS17-010 em 14 de março de 2017.

Recapitulando, WannaCrypt é instalado em computadores Windows vulneráveis por um worm que se espalha através de redes, explorando uma vulnerabilidade no serviços de compartilhamento de arquivos SMB da Microsoft. Ele abusa especificamente de um bug designado MS17-010 que Redmond consertou em março para versões modernas do Windows, e hoje para versões herdadas – todos os restantes sistemas sem patch, portanto, são vulneráveis e podem ser atacados.

Este bug foi, certa vez, explorado pela NSA para sequestrar e espionar seus alvos. Sua ferramenta interna para fazer isso, com o codinome de Eternalblue, foi roubada da Agência e vazou na Internet em abril – colocando esta cyber-arma do governo nas mãos de qualquer meliante com más intenções. Quase imediatamente, ele foi usado para sequestrar milhares de máquinas na internet.

Agora, alguém pegou essa ferramenta e transformou num ransomware: o resultado, é uma variante do WannaCrypt, que se espalha através de SMB e, após desembarcar em um computador, ele criptografa a maioria dos arquivos que puder encontrar. Para descriptar, os meliantes estão cobrando $300 ou $600 dólares em Bitcoin para restaurar os documentos.

Ele ainda instala o Doublepulsar, um backdoor que permite que a máquina seja controlada remotamente. Esta é mais uma ferramenta da NSA roubada e que foi vazada juntamente com o Eternalblue. O malware também é controlado através da rede anônima Tor, conectando-se aos serviços ocultos para receber ainda mais comandos de seus mestres.

Felizmente, um kill switch foi incluído no código. Quando ele detecta que um domínio web particular existe, ele interrompe mais infecções. Esse domínio foi criado hoje cedo por um engenheiro e analista de segurança na Inglaterra, que marcou um dot-com no binário com engenharia reversa; o registo foi detectado pelo ransomware, que imediatamente interrompeu a sua propagação no mundo.

Conexões para o domínio mágico – iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com – foram desviadas para um servidor na Califórnia e os administradores dos sistemas infectados estendendo o dot-com, serão notificados. “Endereços IP desviados foram enviados para o FBI e as organizações afetadas devem receber uma notificação em breve,” disse o pesquisador. Aqui estão alguns links rápidos para detalhes mais técnicos que reunimos:

  • Um exploit para a MS17-010, escrito em Python com exemplo shellcode. Isto baseia-se na ferramenta Eternalblue roubada da NSA e foi desenvolvido por RiskSense. Ele revela que o bug do servidor SMB é o resultado de um estouro de buffer no código da Microsoft. Um comprimento de 32 bits é subtraído em um comprimento de 16 bits, permitindo a um invasor, injetar mais dados do que deveriam para o serviço de rede e, finalmente, o sistema de sequestro. Desabilitando o SMBv1 desabilita o bug e é recomendado em qualquer caso. Você deve também desligar o firewall das portas SMB 139 e 445 do mundo exterior e restringir o acesso ao serviço sempre que possível em redes internas.
  • Você pode controlar infecções em tempo real, aqui. Existem pelo menos 104.000 hospedeiros infectados identificados em todo o mundo.
  • Microsoft tem conselhos para os clientes, aqui. Há também um patches de emergência para sistemas operacionais, inclusive para antigos como o WindowsXP, aqui. Por favor, instalá-los se for necessário.

O ransonware atacou os sistemas de saúde do Reino Unido, obrigando os hospitais a fechar para pacientes não emergenciais; a telecom espanhola Telefónica e muitas outras organizações também foram afetadas. WannaCry é visto como um dos maiores ataques de malware dos últimos tempos, a maior parte das infecções são na Rússia – incluindo o Ministério do interior do estado; o vírus se espalhou por vários destinos ao redor do mundo.

A primeira-Ministra Britânica, Theresa May, disse que o código “minou” hospitais e o centro de vigilância está investigando o surto. O pensamento recorrente é que isso aconteceu, na maioria dos casos, por causa da natureza antiquada de sua infraestrutura de TI. Uma grande parte dos sistemas de organizações, ainda estão usando o Windows XP, que já não é suportado pela Microsoft, e o Secretário de saúde Jeremy Hunt, cancelou um pacote de atualização em 2015 como uma medida de redução de custos.

Empresas americanas também foram atingidas. Em um comunicado, a FedEx disse que  “como muitas outras empresas, a FedEx está enfrentando interferência com alguns dos nossos sistemas baseados em Windows, causados por malware. Estamos implementando medidas de remediação tão rapidamente quanto possível. Lamentamos qualquer inconveniente para nossos clientes.” Essencialmente, os funcionários estão sendo orientados a desligar seus sistemas não-críticos e para manter assim até que a bagunça seja arrumada – o que pode demorar o fim de semana todo, ou mais.

Para conter a expansão do malware, empresas de segurança, enviaram assinaturas de tráfego de rede e arquivo para detectar a presença do híbrido ransomware-worm e matá-lo. A Microsoft foi rápida, emitindo assinaturas para o malware para seus sistemas.

“Hoje, nossos engenheiros adicionaram detecção e proteção contra o novo software mal-intencionado conhecido como Ransom:Win32.WannaCrypt,” disse um porta-voz da Microsoft.

“Em março, nós fornecemos uma atualização de segurança que fornece proteção adicional contra este ataque potencial. Aqueles que estão executando o software antivírus gratuito e têm o Windows Update habilitado, estão protegidos. Estamos trabalhando com clientes para fornecer assistência adicional.”

Exposição da NSA coloca todos nós em risco

Conforme descrito acima, o worm utiliza as façanhas de EternalBlue e DoublePulsar que foram roubadas do arsenal da NSA de ferramentas de hacking. Teria sido ótimo se os bugs visados pela Agência tivessem sido eliminados anos atrás; em vez disso, eles foram consertados pela Microsoft em março, pouco antes da Shadow Brokers vazar os programas on-line em abril. Supomos que a NSA ou os corretores da Shadow alertaram a Microsoft para que as atualizações para matar o bug do SMB fossem liberadas antes que as façanhas fossem publicamente vazadas.

Então, sim, a Microsoft lançou correções de seguranças para as vulnerabilidades de ataques por aquelas cyber-armas, mas, a maneira como os usuários e departamentos de TI de grandes e pequenas empresas operam, nem todo mundo mantém os sistemas atualizados, não instalaram o patch e agora estão pagando o preço. O ponto inicial de infecção parece ser um spear-phishing de e-mails, lançadas às pessoas nas empresas, com o malware oculto em anexos que, quando aberto, aciona um ciber-contágio na rede interna. O malware é um projeto híbrido que tem um elemento de worm, permitindo-lhe espalhar através de estruturas internas para efeito máximo.

De acordo com uma análise de segurança de carga, o malware baixa em um número de programas no sistema, incluindo o Tor e adiciona-se no registro do Windows para que persista entre reinicializações. Ele pode buscar módulos de software para ganhar novas habilidades e usa várias técnicas para dificultar a engenharia reversa.

O código criptografa uma grande variedade de documentos em um computador, incluindo qualquer armazenamento anexado e bloqueia quaisquer chaves de acesso remoto da área de trabalho. Exclui os volumes instantâneos e desabilita as ferramentas de reparação do sistema. Também examina as configurações do sistema infectado para trabalhar no idioma do usuário e levanta-se um pedido de resgate na linguagem correta para a vítima. Muda o cenário da área de trabalho também, para prender a atenção da vítima.

De acordo com um estudo feito pela Kaspersky, parece que os controladores de malware estão ficando mais gananciosos à medida que crescem as taxas de infecção. As infecções iniciais pediram $300 dólares em Bitcoin, porém, em infecções posteriores os avisos aumentaram o preço para $600 dólares. Uma amostra sobre as transferências de Bitcoin, mostraram que alguns milhares de dólares de Bitcoin já foram enviados para os criminosos.

“Podemos ter gravado mais de 45.000 ataques do ransomware WannaCry em 74 países ao redor do mundo, principalmente na Rússia,” disse a equipa de investigação da Kaspersky.

“É importante notar que a nossa visibilidade pode ser limitada e incompleta e o alcance das metas e das vítimas é provavelmente muito, muito maior.”

O que pode ser feito?

Esta é apenas a primeira onda: nada impede alguém de fazer um novo worm que ataque o bug MS17-010 para comprometer silenciosamente sistemas vulneráveis, ou adaptando os binários WannaCrypt para causar mais danos.

Então, qual é a solução? Se você já está infectado, não há muito o que fazer, além de limpar o sistema e reinstalar os backups não afetados off-line – se você possui backups.

É possível que os criadores de malware possam ter colocado a chave de descriptografia no próprio código do WannaCry – tais deslizes já aconteceram no passado. Pesquisadores detectam o código, separando byte por byte tentando encontrar essas pistas, mas, isto parece ser um software razoavelmente sofisticado, e a tentativa é um tiro no escuro.

Se você não foi infectado, certifique-se de que seus patches de segurança estão atualizados. Mate o SMBv1, ou pelo menos, bloqueie o acesso a ele de fora da sua rede. As façanhas usadas pelo malware já foram corrigidas, e não há desculpa para ser pego como um usuário particular. É compreensível que os gerentes de TI com as políticas corporativas irritantes e cargas de trabalho pesadas, foram obrigados a segurar os patches, ou são incapazes de aplicá-los. Se você pode atualizar suas instalações, faça isso agora.

Se você, caro usuário, puder parar de clicar em anexos desconhecidas, também é de grande ajuda.

Orientação oficial da Microsoft aos clientes para ataques de WannaCrypt

Solução da Microsoft disponível para proteger produtos adicionais

Hoje muitos dos nossos clientes em todo o mundo e os sistemas críticos que dependem foram vítimas do software malicioso “WannaCrypt”. Ver as empresas e os indivíduos afetados por ataques cibernéticos, como informado hoje, foi doloroso. A Microsoft trabalhou durante todo o dia para garantir que compreendemos os ataques e estamos tomando todas as ações possíveis para proteger os nossos clientes. Este blog enuncia as etapas que cada indivíduo e negócios devem tomar para manter-se protegido. Além disso, estamos dando um passo altamente incomum de fornecimento de uma atualização de segurança para todos os clientes e proteger plataformas Windows que estão em “custom support”, incluindo o Windows XP, Windows 8 e Windows Server 2003.

Clientes executando o Windows 10 não foram alvo de ataques hoje.

Detalhes abaixo:

  • Em março, foi lançada uma atualização de segurança que endereça a vulnerabilidade que estes ataques estão explorando. Aqueles que têm o Windows Update ativado estão protegidos contra ataques a esta vulnerabilidade. Para aquelas organizações que ainda não aplicaram a atualização de segurança, sugerimos que você aplique imediatamente o Boletim de segurança Microsoft MS17-010.
  • Para clientes que usam o Windows Defender, nós liberamos uma atualização hoje cedo que detecta essa ameaça como resgate: Win32 / WannaCrypt. Como uma medida adicional de “defesa em profundidade”, mantenha o software de anti-malware atualizado instalado em suas máquinas. Clientes que executam o software anti-malware de qualquer número de empresas de segurança pode confirmar com o seu fornecedor, que estão protegidos.
  • Este tipo de ataque pode evoluir ao longo do tempo, para que as estratégias de defesa em profundidade adicionais irão fornecer proteções adicionais. (Por exemplo, para proteger contra ataques de SMBv1, os clientes devem considerar o bloqueio de protocolos herdados em suas redes).

Também sabemos que alguns de nossos clientes estão executando versões do Windows que já não recebem suporte mainstream. Isso significa que os clientes não receberam a atualização de segurança acima mencionada, que foi lançada em março. Dado o impacto potencial de clientes e seus negócios, nós tomamos a decisão de fazer a atualização de segurança para plataformas em “custom support” somente, Windows 8, Windows XP e Windows Server 2003, amplamente disponíveis para baixar (ver links abaixo).

Esta decisão foi tomada com base numa avaliação da situação, com o princípio de proteger nosso ecossistema global de cliente, tendo isso firmemente em mente.

Alguns dos ataques observados usam táticas comuns de phishing incluindo anexos maliciosos. Os clientes devem usar vigilância quando abrir documentos de fontes não confiáveis ou desconhecidas. Para os clientes do Office 365 estamos continuamente monitorando e atualizando para proteger contra esses tipos de ameaças, incluindo resgate: Win32 / WannaCrypt. Mais informações sobre o malware em si estão disponíveis a partir do Microsoft Malware Protection Center no blog de segurança do Windows. Para quem não conhece o Microsoft Malware Protection Center, esta é uma discussão técnica focada em fornecer ao profissional de segurança de TI com informações para ajudar a proteger ainda mais os sistemas.

Estamos trabalhando com clientes para fornecer assistência adicional como esta situação evolui e vamos atualizar este blog com mais detalhes conforme apropriado, disse Phillip Misner, Gerente do Microsoft Security Response Center

 

Links:

Download de atualizações de segurança de língua inglesa: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x 86, Windows XP SP2 x64, Windows XP SP3 x86, Incorporado de Windows XP SP3 x86, Windows 8 x86, Windows 8 x64

Para baixar as versões localizadas para a atualização de segurança para Windows XP, o Windows 8 ou o Windows Server: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Informações gerais sobre ransomware: https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

Atualização de segurança MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Share.

About Author