A epidemia de criptoworms WannaCry começou em 12 de maio de 2017. Suas vítimas tiveram seu trabalho interrompido pela seguinte mensagem na tela:
Logo depois disso, as vítimas descobriram que todos os seus documentos estavam criptografados, e todas as extensões normais de arquivo como .doc ou .mp3 tinham extensão .wnry anexada a eles. Caso alguém feche a janela sem lê-la, o malware também trocava o papel de parede da área de trabalho por um outro com a seguinte mensagem:
Para descriptografar os arquivos, o programa exigia a transferência de US$ 300 em bitcoin para a carteira dos invasores. Mais tarde, o valor foi aumentado para US$ 600. Em um dia, o worm de internet se espalhou rapidamente e infectou mais de 200.000 sistemas em todo o mundo, incluindo computadores domésticos e redes corporativas: hospitais, empresas de transporte, serviços bancários e operadoras de telefonia celular foram afetados. A fabricante de chips taiwanesa TSMC teve que suspender sua produção devido a uma infecção em massa de dispositivos corporativos.
Como isso aconteceu?
A disseminação extremamente rápida do Wannacry foi possibilitada por vulnerabilidades no protocolo SMB (Server Message Block) no Windows. Este protocolo serve para trocar arquivos em uma rede local. As vulnerabilidades permitiam a execução arbitrária de código em um computador sem patch usando uma solicitação por meio do protocolo SMBv1. Esta é uma versão antiquada do SMB que está em uso desde o início dos anos 90. Desde 2006, a versão de protocolo padrão usada no Windows é SMBv2 ou posterior, mas o suporte para o protocolo antigo foi mantido para compatibilidade com computadores que executam softwares antigos.
Quando o problema foi descoberto e as atualizações foram lançadas, em março de 2017 (quase dois meses antes do surto do WannaCry), as vulnerabilidades SMBv1 afetaram todas as versões não corrigidas do sistema operacional, desde a versão Vista até o então novíssimo Windows 10. Os desatualizados Windows XP e Windows 8 também estavam em risco. A Microsoft lançou uma patch para o Windows XP, apesar de ter retirado oficialmente o suporte para ele em 2014. O exploit que visava vulnerabilidades no SMBv1 é comumente referido pelo codinome EternalBlue, por motivos dignos de uma menção separada.
Mas primeiro, você deve conhecer outro codinome: DoublePulsar. Este é o nome do código malicioso usado para criar um backdoor no sistema atacado. Tanto o exploit EternalBlue quanto o backdoor DoublePulsar foram divulgados pelo grupo anônimo ShadowBrokers em março e abril de 2017. Eles, juntamente com outras ferramentas maliciosas, foram supostamente roubados de uma divisão da Agência de Segurança Nacional dos EUA. O worm WannaCry usa os dois componentes: primeiro adquire a capacidade de executar código malicioso por meio do exploit EternalBlue e, em seguida, usa uma ferramenta personalizada DoublePulsar para iniciar a carga útil para criptografar arquivos e exibir a nota de resgate.
Além da criptografia de arquivos, o WannaCry se comunicava com o servidor C2 dos invasores por meio da rede Tor anônima e se propagava enviando solicitações maliciosas para endereços IP aleatórios. Foi isso que impulsionou a incrível taxa de distribuição do worm – dezenas de milhares de sistemas infectados por hora!
Botão de desligar
No mesmo dia, 12 de maio, um então desconhecido blogueiro de cibersegurança MalwareTech deu uma olhada detalhada no código WannaCry. Ele descobriu que dentro do código havia um endereço no formato <very_long_nonsensical_set_of_characters>.com. O nome de domínio não foi registrado, então a MalwareTech o registrou para si mesmo, inicialmente assumindo que os computadores infectados usariam esse endereço para comunicação posterior com servidores C2. Em vez disso, ele inadvertidamente parou a epidemia WannaCry.
Embora isso tenha ocorrido na noite de 12 de maio, após o registro do domínio, o WannaCry ainda estava infectando computadores, embora não conseguisse mais criptografar seus dados. O que o malware estava fazendo, na verdade, era acessar o nome de domínio e, caso não existisse, criptografar os arquivos. Como o domínio agora estava disponível, todas as instâncias de malware, por algum motivo, interromperam seus esforços. Por que os criadores permitiram uma forma tão fácil de matar seu ransomware? De acordo com a MalwareTech, foi uma tentativa fracassada de enganar a análise automatizada de sandbox.
O sandboxing funciona assim: um programa malicioso é executado em um ambiente virtual isolado permitindo a análise em tempo real de seu comportamento. Este é um procedimento comum executado manualmente por analistas de vírus ou automaticamente. O ambiente virtual foi projetado para permitir que o malware seja executado totalmente e entregue todos os seus segredos aos pesquisadores. Se o malware solicitar um arquivo, a sandbox fingirá que o arquivo existe. Se ele acessar um site online, o ambiente virtual poderá emular uma resposta. Talvez os autores do WannaCry acreditassem que poderiam enganar a análise de sandbox: se o worm acessasse um domínio conhecido como inexistente e obtivesse uma resposta, a vítima não é real e a atividade maliciosa deve ser ocultada.
O que eles provavelmente não consideraram foi o código do worm sendo desmontado em apenas três horas e seu nome de domínio “secreto” sendo encontrado e registrado.
MalwareTech: “o hacker que salvou a internet”
A MalwareTech tinha motivos para esconder sua verdadeira identidade. Seu nome verdadeiro é Marcus Hutchins. Quando o WannaCry chegou, ele tinha apenas 23 anos. Ainda no ensino médio, ele se envolveu com a turma errada, como se costuma dizer, e frequentava fóruns envolvidos em pequenos cibercrimes. Entre seus pecados estava escrever um programa para roubar senhas de navegadores. Ele também escreveu um programa para infectar usuários por meio de Torrents e o usou para construir uma botnet com 8.000 conexões.
No início dos anos 2000, ele foi descoberto por um player maior e convidado a escrever um pedaço do malware Kronos. Por seu trabalho, Marcus recebia uma comissão por cada venda no mercado paralelo: outros cibercriminosos compraram o malware para realizar seus próprios ataques. Hutchins revelou que em pelo menos duas ocasiões ele deu seu nome verdadeiro e endereço residencial no Reino Unido aos cúmplices. Esta informação mais tarde caiu nas mãos da aplicação da lei dos EUA.
O homem que “salvou a internet” não era mais anônimo. Dois dias depois, os repórteres estavam batendo à sua porta: a filha de um dos jornalistas foi para a mesma escola que Markus, e sabia que ele usava o pseudônimo MalwareTech. Ele evitou falar com a imprensa no início, mas acabou dando uma entrevista à Associated Press. Em agosto de 2017, agora como convidado de honra, foi convidado a Las Vegas para a famosa conferência de hackers DEF CON.
Foi aí que ele foi preso. Depois de passar vários meses em prisão domiciliar e admitir parcialmente as acusações relacionadas a Kronos, Hutchins saiu levianamente com uma sentença suspensa. Em uma importante entrevista à revista Wired, ele descreveu seu passado criminoso como um erro lamentável: ele fez isso menos por dinheiro do que pelo desejo de mostrar suas habilidades e obter reconhecimento na comunidade underground. Na época do WannaCry, ele não tinha contato com cibercriminosos há dois anos, e seu blog MalwareTech era lido e admirado por especialistas.
Essa foi a última epidemia?
Recentemente escrevemos sobre o worm ILOVEYOU, que causou uma grande epidemia no início dos anos 2000. Tinha muito em comum com o WannaCry: ambos os worms se espalhavam por meio de uma vulnerabilidade no Windows para a qual já havia uma patch disponível. Mas nem todos os computadores foram atualizados quando a infecção começou. O resultado foram centenas de milhares de vítimas em todo o mundo, danos de milhões de dólares a empresas e perda de dados de usuários.
Existem diferenças também. Os criadores do WannaCry (presumivelmente um grupo da Coreia do Norte) usaram ferramentas de hacking disponíveis no domínio público. ILOVEYOU simplesmente apagou alguns arquivos; O WannaCry exigiu um resgate dos usuários roubados de todos os seus documentos. Felizmente, os autores do WannaCry foram muito fofos ao incorporar um “botão de desligar” que funcionou contra eles. A história dessa epidemia também é sobre o gênio dos caçadores de malware capazes de pegar o trabalho de outra pessoa, analisá-lo em pouco tempo e desenvolver um mecanismo de defesa.
A epidemia do WannaCry foi estudada por dezenas de empresas e recebeu a máxima atenção da mídia, o que a torna uma exceção à regra. Hoje em dia, é improvável que um ataque de ransomware a uma empresa específica obtenha cobertura de primeira página: na verdade, você ficará sozinho enfrentando seu algoz. Portanto, é importante envolver os melhores especialistas na operação de controle de danos e não sucumbir à extorsão. Como mostra o caso do WannaCry, mesmo um ataque altamente sofisticado e eficaz pode ter seu calcanhar de Aquiles.