![Mensagem de resgate do Wannacry na tela de um computador infectado.<a href=\"https:\/\/securelist.com\/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world\/78351\/\" target=\"_blank\">Fonte<\/a>](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2022\/09\/09161929\/wannacry-hsitory-lessons-ransom-note.jpg\")
Mensagem de resgate do Wannacry na tela de um computador infectado.Fonte<\/a><\/p><\/div>\n Logo depois disso, as v\u00edtimas descobriram que todos os seus documentos estavam criptografados, e todas as extens\u00f5es normais de arquivo como .doc ou .mp3 tinham extens\u00e3o .wnry anexada a eles. Caso algu\u00e9m feche a janela sem l\u00ea-la, o malware tamb\u00e9m trocava o papel de parede da \u00e1rea de trabalho por um outro com a seguinte mensagem:<\/p>\n Aviso no Wallpaper. Fonte<\/a>.<\/p><\/div>\n Para descriptografar os arquivos, o programa exigia a transfer\u00eancia de US$ 300 em bitcoin para a carteira dos invasores. Mais tarde, o valor foi aumentado para US$ 600. Em um dia, o worm de internet se espalhou rapidamente e infectou mais de 200.000 sistemas em todo o mundo, incluindo computadores dom\u00e9sticos e redes corporativas: hospitais, empresas de transporte, servi\u00e7os banc\u00e1rios e operadoras de telefonia celular foram afetados. A fabricante de chips taiwanesa TSMC teve que suspender sua produ\u00e7\u00e3o devido a uma infec\u00e7\u00e3o em massa de dispositivos corporativos.<\/p>\n A dissemina\u00e7\u00e3o extremamente r\u00e1pida do Wannacry foi possibilitada por vulnerabilidades no protocolo SMB (Server Message Block) no Windows. Este protocolo serve para trocar arquivos em uma rede local. As vulnerabilidades permitiam a execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digo em um computador sem patch usando uma solicita\u00e7\u00e3o por meio do protocolo SMBv1. Esta \u00e9 uma vers\u00e3o antiquada do SMB que est\u00e1 em uso desde o in\u00edcio dos anos 90. Desde 2006, a vers\u00e3o de protocolo padr\u00e3o usada no Windows \u00e9 SMBv2 ou posterior, mas o suporte para o protocolo antigo foi mantido para compatibilidade com computadores que executam softwares antigos.<\/p>\n Quando o problema foi descoberto e as atualiza\u00e7\u00f5es foram lan\u00e7adas<\/a>, em mar\u00e7o de 2017 (quase dois meses antes do surto do WannaCry), as vulnerabilidades SMBv1 afetaram todas as vers\u00f5es n\u00e3o corrigidas do sistema operacional, desde a vers\u00e3o Vista at\u00e9 o ent\u00e3o nov\u00edssimo Windows 10. Os desatualizados Windows XP e Windows 8 tamb\u00e9m estavam em risco. A Microsoft lan\u00e7ou uma patch para o Windows XP, apesar de ter retirado oficialmente o suporte para ele em 2014. O exploit que visava vulnerabilidades no SMBv1 \u00e9 comumente referido pelo codinome EternalBlue, por motivos dignos de uma men\u00e7\u00e3o separada.<\/p>\n Mas primeiro, voc\u00ea deve conhecer outro codinome: DoublePulsar<\/a>. Este \u00e9 o nome do c\u00f3digo malicioso usado para criar um backdoor no sistema atacado. Tanto o exploit EternalBlue quanto o backdoor DoublePulsar foram divulgados<\/a> pelo grupo an\u00f4nimo ShadowBrokers em mar\u00e7o e abril de 2017. Eles, juntamente com outras ferramentas maliciosas, foram supostamente roubados de uma divis\u00e3o da Ag\u00eancia de Seguran\u00e7a Nacional dos EUA. O worm WannaCry usa os dois componentes: primeiro adquire a capacidade de executar c\u00f3digo malicioso por meio do exploit EternalBlue e, em seguida, usa uma ferramenta personalizada DoublePulsar para iniciar a carga \u00fatil para criptografar arquivos e exibir a nota de resgate.<\/p>\n Al\u00e9m da criptografia de arquivos, o WannaCry se comunicava com o servidor C2 dos invasores por meio da rede Tor an\u00f4nima e se propagava enviando solicita\u00e7\u00f5es maliciosas para endere\u00e7os IP aleat\u00f3rios. Foi isso que impulsionou a incr\u00edvel taxa de distribui\u00e7\u00e3o do worm \u2013 dezenas de milhares de sistemas infectados por hora!<\/p>\n No mesmo dia, 12 de maio, um ent\u00e3o desconhecido blogueiro de ciberseguran\u00e7a MalwareTech deu uma olhada detalhada no c\u00f3digo WannaCry. Ele descobriu que dentro do c\u00f3digo havia um endere\u00e7o no formato <very_long_nonsensical_set_of_characters>.com. O nome de dom\u00ednio n\u00e3o foi registrado, ent\u00e3o a MalwareTech o registrou para si mesmo, inicialmente assumindo que os computadores infectados usariam esse endere\u00e7o para comunica\u00e7\u00e3o posterior com servidores C2. Em vez disso, ele inadvertidamente parou a epidemia WannaCry.<\/p>\n Embora isso tenha ocorrido<\/a> na noite de 12 de maio, ap\u00f3s o registro do dom\u00ednio, o WannaCry ainda estava infectando computadores, embora n\u00e3o conseguisse mais criptografar seus dados. O que o malware estava fazendo, na verdade, era acessar o nome de dom\u00ednio e, caso n\u00e3o existisse, criptografar os arquivos. Como o dom\u00ednio agora estava dispon\u00edvel, todas as inst\u00e2ncias de malware, por algum motivo, interromperam seus esfor\u00e7os. Por que os criadores permitiram uma forma t\u00e3o f\u00e1cil de matar seu ransomware? De acordo com a MalwareTech, foi uma tentativa fracassada de enganar a an\u00e1lise automatizada de sandbox.<\/p>\n O sandboxing funciona assim: um programa malicioso \u00e9 executado em um ambiente virtual isolado permitindo a an\u00e1lise em tempo real de seu comportamento. Este \u00e9 um procedimento comum executado manualmente por analistas de v\u00edrus ou automaticamente. O ambiente virtual foi projetado para permitir que o malware seja executado totalmente e entregue todos os seus segredos aos pesquisadores. Se o malware solicitar um arquivo, a sandbox fingir\u00e1 que o arquivo existe. Se ele acessar um site online, o ambiente virtual poder\u00e1 emular uma resposta. Talvez os autores do WannaCry acreditassem que poderiam enganar a an\u00e1lise de sandbox: se o worm acessasse um dom\u00ednio conhecido como inexistente e obtivesse uma resposta, a v\u00edtima n\u00e3o \u00e9 real e a atividade maliciosa deve ser ocultada.<\/p>\n O que eles provavelmente n\u00e3o consideraram foi o c\u00f3digo do worm sendo desmontado em apenas tr\u00eas horas e seu nome de dom\u00ednio \u201csecreto\u201d sendo encontrado e registrado.<\/p>\n A MalwareTech tinha motivos para esconder sua verdadeira identidade. Seu nome verdadeiro \u00e9 Marcus Hutchins. Quando o WannaCry chegou, ele tinha apenas 23 anos. Ainda no ensino m\u00e9dio, ele se envolveu com a turma errada, como se costuma dizer, e frequentava f\u00f3runs envolvidos em pequenos cibercrimes. Entre seus pecados estava escrever um programa para roubar senhas de navegadores. Ele tamb\u00e9m escreveu um programa para infectar usu\u00e1rios por meio de Torrents e o usou para construir uma botnet com 8.000 conex\u00f5es.<\/p>\n No in\u00edcio dos anos 2000, ele foi descoberto por um player maior e convidado a escrever um peda\u00e7o do malware Kronos. Por seu trabalho, Marcus recebia uma comiss\u00e3o por cada venda no mercado paralelo: outros cibercriminosos compraram o malware para realizar seus pr\u00f3prios ataques. Hutchins revelou que em pelo menos duas ocasi\u00f5es ele deu seu nome verdadeiro e endere\u00e7o residencial no Reino Unido aos c\u00famplices. Esta informa\u00e7\u00e3o mais tarde caiu nas m\u00e3os da aplica\u00e7\u00e3o da lei dos EUA.<\/p>\n O homem que \u201csalvou a internet\u201d n\u00e3o era mais an\u00f4nimo. Dois dias depois, os rep\u00f3rteres estavam batendo \u00e0 sua porta: a filha de um dos jornalistas foi para a mesma escola que Markus, e sabia que ele usava o pseud\u00f4nimo MalwareTech. Ele evitou falar com a imprensa no in\u00edcio, mas acabou dando uma entrevista \u00e0 Associated Press. Em agosto de 2017, agora como convidado de honra, foi convidado a Las Vegas para a famosa confer\u00eancia de hackers DEF CON.<\/p>\n Foi a\u00ed que ele foi preso. Depois de passar v\u00e1rios meses em pris\u00e3o domiciliar e admitir parcialmente as acusa\u00e7\u00f5es relacionadas a Kronos, Hutchins saiu levianamente com uma senten\u00e7a suspensa. Em uma importante entrevista<\/a> \u00e0 revista Wired, ele descreveu seu passado criminoso como um erro lament\u00e1vel: ele fez isso menos por dinheiro do que pelo desejo de mostrar suas habilidades e obter reconhecimento na comunidade underground. Na \u00e9poca do WannaCry, ele n\u00e3o tinha contato com cibercriminosos h\u00e1 dois anos, e seu blog MalwareTech era lido e admirado por especialistas.<\/p>\n Recentemente escrevemos<\/a> sobre o worm ILOVEYOU, que causou uma grande epidemia no in\u00edcio dos anos 2000. Tinha muito em comum com o WannaCry: ambos os worms se espalhavam por meio de uma vulnerabilidade no Windows para a qual j\u00e1 havia uma patch dispon\u00edvel. Mas nem todos os computadores foram atualizados quando a infec\u00e7\u00e3o come\u00e7ou. O resultado foram centenas de milhares de v\u00edtimas em todo o mundo, danos de milh\u00f5es de d\u00f3lares a empresas e perda de dados de usu\u00e1rios.<\/p>\n Existem diferen\u00e7as tamb\u00e9m. Os criadores do WannaCry (presumivelmente um grupo da Coreia do Norte) usaram ferramentas de hacking dispon\u00edveis no dom\u00ednio p\u00fablico. ILOVEYOU simplesmente apagou alguns arquivos; O WannaCry exigiu um resgate dos usu\u00e1rios roubados de todos os seus documentos. Felizmente, os autores do WannaCry foram muito fofos ao incorporar um \u201cbot\u00e3o de desligar\u201d que funcionou contra eles. A hist\u00f3ria dessa epidemia tamb\u00e9m \u00e9 sobre o g\u00eanio dos ca\u00e7adores de malware capazes de pegar o trabalho de outra pessoa, analis\u00e1-lo em pouco tempo e desenvolver um mecanismo de defesa.<\/p>\n A epidemia do WannaCry foi estudada por dezenas de empresas e recebeu a m\u00e1xima aten\u00e7\u00e3o da m\u00eddia, o que a torna uma exce\u00e7\u00e3o \u00e0 regra. Hoje em dia, \u00e9 improv\u00e1vel que um ataque de ransomware a uma empresa espec\u00edfica obtenha cobertura de primeira p\u00e1gina: na verdade, voc\u00ea ficar\u00e1 sozinho enfrentando seu algoz. Portanto, \u00e9 importante envolver os melhores especialistas<\/a> na opera\u00e7\u00e3o de controle de danos e n\u00e3o sucumbir \u00e0 extors\u00e3o. Como mostra o caso do WannaCry, mesmo um ataque altamente sofisticado e eficaz pode ter seu calcanhar de Aquiles.<\/p>\n![Aviso no Wallpaper. <a href=\"https:\/\/securelist.com\/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world\/78351\/\" target=\"_blank\">Fonte<\/a>.](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2022\/09\/09163255\/wannacry-hsitory-lessons-wallpaper-1.jpg\")
Como isso aconteceu?<\/h2>\n
Bot\u00e3o de desligar<\/h2>\n
MalwareTech: \u201co hacker que salvou a internet\u201d<\/h2>\n
Essa foi a \u00faltima epidemia?<\/h2>\n
![\"Prote\u00e7\u00e3o](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2020\/05\/08140232\/ransomware-protection-desktop-br.png\")
<\/a><\/p>\n