O WannaCry continua sendo um lembrete dos desafios que as organizações enfrentam ao lidar com a ameaça do ransomware.
O cenário do ransomware evoluiu consideravelmente desde que o WannaCry mostrou a gravidade potencial da ameaça cinco anos atrás, em 12 de maio. O que mudou um pouco menos no mesmo período foi a preparação da empresa para os ataques de ransomware.
O QUE FOI O ATAQUE DO RANSOMWARE WANNACRY?
O ataque do ransomware WannaCry foi uma epidemia global que aconteceu em maio de 2017.
Ele se espalhou por computadores com o Microsoft Windows. Os arquivos dos usuários eram mantidos como reféns e, para que fossem devolvidos, era exigido um resgate em bitcoins.
Se não fosse o uso contínuo de sistemas de computador desatualizados e o pouco conhecimento sobre a necessidade de atualizar o software, os danos causados por esse ataque poderiam ter sido evitados.
O ataque do ransomware WannaCry atingiu cerca de 230 mil computadores e teve um impacto financeiro considerável em todo o mundo. Estima-se que as perdas causadas por esse crime cibernético tenham somado US$ 4 bilhões em todo o mundo.
O ransomware surgiu e permaneceu entrincheirado como um dos problemas de segurança mais difíceis para organizações em todos os setores nos últimos anos. O próprio WannaCry, embora nem de longe tão difundido quanto era inicialmente, continua sendo uma ameaça potente e até apareceu em algumas listas de fornecedores das principais ameaças de malware em novembro passado.
O QUE AS ORGANIZAÇÕES ATACADAS FIZERAM A RESPEITO?
De acordo com a maioria das contas, as organizações corporativas melhoraram na correção de vulnerabilidades e na atualização de software obsoleto e desatualizado.
Mesmo assim, a versão vulnerável do protocolo Server Message Block (SMB) que o WannaCry usou para se espalhar como um incêndio continua em uso generalizado em organizações e regiões. A maioria dos ataques contra o protocolo SMB ainda tenta explorar o EternalBlue, o exploit que foi usado nos ataques WannaCry. Os programas de gerenciamento de patches e vulnerabilidades continuam a apresentar desafios, assim como práticas como detecção, correção e resposta de ameaças.
Enquanto isso, o ransomware e a maneira como é usado mudaram. Atualmente, muitos ataques de ransomware são altamente direcionados e envolvem táticas práticas para máxima eficácia. As ferramentas estão se tornando cada vez mais multiplataforma, o que significa que podem ser usadas para atacar diferentes sistemas operacionais. Exemplos dessas ferramentas incluem Conti, BlackCat e Deadbolt .
E a proliferação de ofertas de ransomware como serviço reduziu a barreira de entrada para cibercriminosos comuns, mesmo que tenha fomentado hierarquias e processos cada vez mais empresariais na indústria criminosa. Atualmente, uma alta porcentagem de ataques de ransomware também envolve roubo de dados e ataques de negação de serviço como formas adicionais de extorsão.
ALIVE AND KICKING
"O WannaCry, embora não seja uma ameaça tão prevalente quanto antes, ainda está vivo e funcionando", diz Tessa Mishoe, analista sênior de ameaças da LogicHub. Ao longo do tempo entre seus primeiros ataques e agora, a indústria de ransomware aprendeu com os esforços do WannaCry e as respostas a ele – sejam novas táticas, como leiloar dados e chantagear clientes, ou novas técnicas, como escapes e persistência de máquinas virtuais mais complexas. “O aumento da participação de mercado do ransomware deve ser um bom indicador de como o WannaCry lançou mais intrigas no ransomware”, diz Mishoe.
O WannaCry surgiu em 12 de maio de 2017 e em questão de dias se espalhou para cerca de 300.000 computadores em todo o mundo. Embora muitos o tenham descrito como ransomware,
Várias organizações foram afetadas pelo surto, incluindo FedEx, Nissan e, talvez mais notavelmente, o Serviço Nacional de Saúde do Reino Unido. O Departamento de Justiça dos EUA e vários outros atribuíram o malware e os ataques ao Grupo Lazarus da Coreia do Norte . Ao longo dos anos, os pesquisadores estimaram os danos associados ao malware em mais de US$ 1 bilhão.
O malware se espalhou por meio de uma exploração desenvolvida pela Agência de Segurança Nacional dos EUA (NSA) chamada EternalBlue, que visava uma vulnerabilidade crítica de execução remota de código ( MS17-010 ) no protocolo de compartilhamento de arquivos SMBv1 (Server Message Block 1.0) da Microsoft. Uma vez instalado em um sistema, o WannaCry se espalha rapidamente para outros dispositivos que executam uma versão SMB vulnerável. A maioria deles eram sistemas Windows mais antigos , como aqueles executados no Windows Vista, Windows 7 e Windows 8.1.
Embora a Microsoft tenha lançado um patch para a falha do SMB mais de um mês antes do WannaCry, milhões de computadores não foram corrigidos contra o problema quando o malware ocorreu.
UMA AMEAÇA CONTÍNUA
Cinco anos depois, os invasores continuam usando o exploit EternalBlue para implantar o WannaCry e outros malwares em sistemas corporativos.
Uma análise recente conduzida pela Barracuda Networks de ataques durante um período de três meses mostra que 92% de todos os ataques na porta SMB 445 envolvem tentativas de usar o exploit EternalBlue.
“Ainda existem máquinas por aí que nunca foram corrigidas contra esse tipo de exploração e provavelmente nunca serão”, diz Jonathan Tanner, pesquisador de segurança sênior da Barracuda. "Então, não é muito trabalho da parte dos invasores tentar encontrar e explorar esses sistemas."
Muito disso também se deve a atrasos contínuos nas organizações que atualizam suas infraestruturas. Uma pesquisa com 500 tomadores de decisão de TI pelo fornecedor ExtraHop descobriu que 68% dos entrevistados admitem ainda executar o SMBv1, embora as versões mais recentes e mais seguras do protocolo de compartilhamento de arquivos existam há anos. A empresa discutirá os obstáculos que as empresas enfrentam para se proteger contra ataques de ransomware na próxima RSA Conference (RSAC), em uma sessão apropriadamente intitulada "O que será necessário para parar o ransomware?"
O SMBv1 está obsoleto desde 2014, observa Jeff Costlow, CISO da ExtraHop. “Gostaria que fosse surpreendente que 68% das organizações ainda estejam executando o SMBv1, mas vejo exemplo após exemplo de organizações executando protocolos desatualizados, inseguros ou não criptografados – consciente ou inconscientemente”, diz ele. O risco é enorme, acrescenta. "O SMBv1 não precisa ser instalado em todos os dispositivos do ambiente para ser usado para lançar um ataque catastrófico. Ele só precisa estar em um."
Brian Donahue, principal especialista em segurança da informação da Red Canary, diz que, na maioria das vezes, as organizações estão menos vulneráveis ao WannaCry agora do que antes. Mesmo assim, muitas organizações ainda não atualizaram para o MS17-010 e suas instalações SMB permanecem suscetíveis ao exploit EternalBlue, diz ele.
"De maneira mais geral, a adoção de patches corporativos fica atrás das atualizações dos fornecedores, e as organizações sempre lutam para manter-se atualizadas com os novos lançamentos de software", observa ele.
As organizações também precisam acompanhar a inovação dos cibercriminosos. Para esse fim, Katie Nickels, da Red Canary, também diretora do SANS Institute, fará parte de um painel durante o RSAC de junho intitulado " As 5 novas técnicas de ataque mais perigosas ", que visa destacar vetores de ameaças emergentes para ransomware (e outros ataques cibernéticos).
UMA AMEAÇA DOMINANTE E EM EVOLUÇÃO
Donahue diz que o ransomware foi uma das ameaças mais dominantes em 2017 e continua sendo uma grande ameaça em 2022. As ameaças de ransomware semelhantes a worms deixaram de ser uma ameaça emergente para o padrão de fato para campanhas de ransomware. Mais do que isso, a adoção de técnicas de exfiltração para realizar dupla extorsão era incomum em 2017, mas é extremamente comum agora.
A indústria de ransomware também evoluiu de outras maneiras desde o surto do WannaCry. Pesquisadores da Bishop Fox, que analisaram o espaço de ameaças, detectaram recentemente uma tendência ao uso de ransomware como isca em ataques patrocinados pelo Estado, guerra cibernética e atividades criminosas. Eles notaram como WannaCry, NotPetya e WhisperGate eram limpadores de disco disfarçados de ransomware que enganavam as vítimas a acreditar que poderiam recuperar seus dados se pagassem um resgate.
Da mesma maneira, os invasores estão usando ransomware para distrair as vítimas dos verdadeiros motivos de um invasor, de acordo com o bispo Fox.
Os ataques de ransomware de hoje também são muito mais adaptados e personalizados em comparação com o WannaCry, que se espalha indiscriminadamente de maneira automatizada, diz Trevin Edgeworth, diretor de prática da equipe vermelha da Bishop Fox. Ele aponta para o DarkSide, o ransomware que atingiu a Colonial Pipeline, como um exemplo de ransomware que está sendo amplamente implantado por humanos e voltado para organizações específicas.
"Seja a informação do paciente que um provedor de saúde mantém ou a operação contínua de sistemas críticos para uma empresa de manufatura, os ataques de hoje são adaptados e personalizados para cada organização visada e o que é crítico para elas", diz ele.
Em um relatório esta semana, a Kaspersky disse que identificou instâncias recentes de grupos de ransomware tomando partido em conflitos geopolíticos – como o que envolve a guerra da Rússia na Ucrânia. Grupos por trás da família de ransomware Conti, por exemplo, se aliaram aos interesses russos, enquanto outros, como o Exército de TI da Ucrânia, estão do lado oposto. Esse alinhamento pode ter um impacto nas organizações-alvo.
O WannaCry foi um alerta para muitas organizações em torno de suas práticas de correção e promoveu programas de gerenciamento de vulnerabilidades mais fortes. No entanto, muitas organizações continuam a priorizar a correção do sistema operacional em vez da correção de aplicativos-chave, como produtos Java, Office e Adobe que são instalados de forma onipresente em todo o ambiente, diz Edgeworth.
“A preparação para ransomware começa primeiro com a excelência na higiene básica de segurança, como arquitetura de rede segura, redução de superfícies de ataque desnecessárias e aplicação de privilégios mínimos em torno do Active Directory e dos sistemas de 'jóias da coroa'”, diz Edgeworth. "As organizações devem ter um plano com antecedência sobre como responder a um ataque de ransomware."
Fontes: Kaspersky e Dark Reading