Ataques do WannaCry são apenas o começo. Há variantes por aí

Pesquisadores acreditam que outros atacantes vão começar a explorar a mesma falha explorada pelo ransomware

Milhares de organizações de todo o mundo foram pegas de surpresa pelo ataque de ransomware WannaCry lançado na última sexta-feira. À medida que essa ameaça se dissemina rapidamente, mais criminosos cibernéticos provavelmente tentarão lucrar com esta e outras vulnerabilidades semelhantes.

Como um programa de ransomware, o WannaCry em si não é tão especial ou sofisticado. De fato, uma versão anterior do programa foi distribuída em março e abril e, a julgar pela sua implementação, seus criadores não são muito hábeis.

A diferença entre os ataques anteriores do WannaCry e o último é um componente semelhante a um verme que infecta outros computadores explorando uma vulnerabilidade crítica de execução remota de código na implementação do protocolo Server Message Block 1.0 (SMBv1) do Windows.

A Microsoft lançou um patch para esta vulnerabilidade em março e, logo após o ataque de sexta-feira, tomou o passo incomum de liberar correções para versões mais antigas do Windows que não são mais suportadas, como Windows XP, Windows Server 2013 e Windows 8 .

Os atacantes do WannaCry não tiveram muito trabalho para construir o componente de infecção baseada em SMB, uma vez que simplesmente adaptaram uma exploração existente vazada em abril por um grupo chamado Shadow Brokers. 

Variantes já detectadas
A versão do WannaCry que se espalhou na sexta-feira teve uma peculiaridade: Tentava entrar em contato com um domínio não registrado e interrompia sua execução quando ao alcançá-lo, interrompendo a infecção. Um pesquisador que usa o alias online MalwareTech rapidamente percebeu que isso poderia ser usado como um interruptor  para retardar a propagação do ransomware.

Desde então, os pesquisadores descobriram algumas outras versões.

Uma variante do ransomware foi capaz de infectar alguns dos computadores remendados após a infecção com o malware original na semana passada, de acordo com um alto funcionário do Departamento de Segurança Interna (DHS) dos Estados Unidos.

"Estamos trabalhando em como lidar com essa variante e compartilhar como pudermos", disse o funcionário que pediu para não ser identificado. O funcionário não disse quantos computadores foram afetados pela variante.

O DHS trabalhou com o FBI e outras autoridades policiais durante o fim de semana para identificar vítimas do ataque e ajudá-los a recuperar sistemas sem pagar um resgate, principalmente instalando patches do Windows.

Isso indica que os ataques, tanto dos autores do WannaCry como de outros cibercriminosos, provavelmente continuarão e, apesar dos patches estarem disponíveis, muitos sistemas provavelmente permanecerão vulneráveis por algum tempo. Afinal, os fornecedores de segurança ainda estão vendo tentativas de exploração bem sucedidas hoje para o MS08-067, a vulnerabilidade do Windows que permitiu que o worm do computador Conficker se espalhasse há nove anos.

"Provavelmente vai piorar antes que melhore, uma vez que essa será uma das ameaças mais graves para os próximos 12 meses", disse Catalin Cosoi, estrategista-chefe de segurança da Bitdefender, em um post sobre a vulnerabilidade EternalBlue.

Ele acredita que os grupos de ciberespionagem patrocinados pelo Estado também podem aproveitar a falha de SMB para plantar backdoors furtivos em computadores enquanto os defensores estão ocupados lidando com o ataque de ransomware muito mais visível.

A empresa de segurança BinaryEdge, especializada em varreduras na Internet, detectou mais de 1 milhão de sistemas Windows que têm o serviço SMB exposto à Internet. O número é consideravelmente maior do que as 200 mil máquinas afetadas pelo WannaCry, por isso há potencial para mais ataques e vítimas.

O sucesso do WannaCry mostrou que um grande número de organizações estão ficando para trás em patches e que muitos têm sistemas legados que executam versões antigas do Windows. Até certo ponto, isso é compreensível porque a implantação de patches em ambientes com um grande número de sistemas não é uma tarefa fácil. As empresas precisam testar os patches antes de instalá-los para garantir que eles não têm problemas de compatibilidade com os aplicativos existentes e quebrar os fluxos de trabalho existentes.

Na lista de países abaixo, compilada pela Avast é possível ver a porcentagem dos computadores que ainda não atualizaram os sistemas operacionais com  o patch MS17-010 da Microsoft. Sem isso e sem uma solução de segurança com antivírus, os usuários continuarão vulneráveis aos ataques. Em termos globais, 15% dos usuários da Avast ainda não aplicaram a atualização. Os dados foram obtidos hoje, dia 15 de Maio de 2017, às 07h38 (hora de Brasília).

tabela

Em outros casos, as organizações podem estar presas a determinados sistemas que executam versões do Windows não suportadas sem recursos financeiros para atualizá-las ou substituí-las. É o caso dos caixas eletrônicos, dispositivos médicos, máquinas de bilhetagem, quiosques eletrônicos de autoatendimento como os dos aeroportos, e até mesmo os servidores que executam aplicativos legados que não podem ser facilmente reestruturados.

No entanto, existem medidas que podem ser tomadas para proteger esses sistemas, como isolá-los em segmentos de rede onde o acesso é estritamente controlado ou por desativar protocolos e serviços desnecessários. A Microsoft tentou convencer as empresas a parar de usar o SMBv1 por algum tempo, já que ele tem outros problemas além desta falha.

"Existem certas organizações ou setores - por exemplo, médicos - onde o patch não é uma questão simples", disse Carsten Eiram, diretor de pesquisa da empresa de inteligência de vulnerabilidade Risk Based Security, por e-mail. "Nesses casos, é imperativo que eles compreendam corretamente os riscos e procurem soluções alternativas para limitar a ameaça".

O sucesso do WannaCry, pelo menos na medida em que sua distribuição foi rápida, provou aos cibercriminosos que há muitos sistemas vulneráveis em redes empresariais que podem ser alvo de antigas explorações. É possível que eles tentem usar outras explorações da NSA vazadas pelos Shadow Brokers ou sejam mais rápidos aem adotar façanhas para falhas futuras que possibilitem ataques similares em massa em LANs.

"A explosão do EternalBlue faz parte de um vazamento maior chamado" Lost In Translation "que reúne múltiplas vulnerabilidades que vão desde simples aborrecimentos até situações extremamente graves", disse Bogdan Botezatu, analista sênior de e-threat da Bitdefender. 

Eiram está convencido de que muitas vulnerabilidades permitirão ataques de ransomware semelhantes no futuro.

- Não duvido disso por um segundo - disse ele. "Todos os anos vemos tais vulnerabilidades."

Então, resta aos CIOs e CSOs tentarem tapar os possíveis buracos de suas infraestruturas.