Notícias

Para saber mais sobre o WannaCrypt e os ataques de sexta-feira

Depois do ataque com o malware WannaCrypt (também chamado de WCry, WanaCry e WannaCry), na sexta-feira passada, 12 de maio, diversos especialistas começaram a investigar o vírus que se espalhou rapidamente pela Europa e pela Ásia, impactando cerca de 100 países e mais de 100 mil computadores pelo mundo — inclusive de hospitais, que foram obrigados a parar de receber pacientes porque não tinham mais acesso aos seus prontuários, e também de companhias de energia e de telecomunicações. No Brasil, agências do INSS foram afetadas e a Petrobras teve que desligar seus computadores para impedir a propagação do vírus.
O WCry é um vírus do tipo ransomware. Ele “sequestra” os dados de um computador, criptografando-os e impedindo que o usuário os acesse a não ser que pague um resgate. Surgidos entre 2011 e 2012, os ransomware são hoje uma coqueluche. A maioria deles detecta se está rodando a partir de máquinas virtuais. Máquinas virtuais são às vezes usadas por sistemas de segurança para analisar o tráfego, localizar pacotes suspeitos e testá-los, para ver se não são vírus. Se detectam isso, muitos ransomware se auto-desativam, para impedir análise de seu  comportamento. Alguns, ainda mais elaborados, consultam um índice de valor de aluguel da região do computador infectado, para calcular o valor do resgate.
O que torna este malware notável, além de seu uso para o ataque da última sexta-feira, é o fato dele usar vulnerabilidade que faz parte do arsenal de ciberarmas da National Security Agency (NSA, a agência de segurança norteamericana) e, portanto, ter sido desenvolvido a partir de vazamento de informações secretas de órgão governamental.
Uma postagem feita no blog MalwareTech descreve a investigação de um pesquisador em cibersegurança que possibilitou desalecerar a propagação do WCrypt e impedir que este se espalhasse por novos computadores. Um dos primeiros pontos a ser notado no post é o fato de que o vírus estava atrelado a um domínio de site não registrado, que rapidamente foi registrado pelo pesquisador. Desta forma, ao registrar e ver o fluxo de dados do domínio, ele foi uma das primeiras pessoas a ter uma noção real da distribuição geográfica dos endereços de IP afetados e de seu crescimento.
Estudando as portas vinculadas à invasão, o pesquisador notou que as conexões eram estabelecidas na porta 445, utilizada pelo protocolo SMB (Bloco de Mensagem de Servidor em português), responsável pelo acesso compartilhado de arquivos e portas e pelas comunicações entre nós de uma rede Windows. Esta mesma porta é utilizada como exploit pela NSA (a agência nacional de segurança dos EUA) para invadir computadores, de acordo com informações vazadas em 2016, quando um grupo hacker intitulado ShadowBrokers disponibilizou diversas ferramentas utilizadas pela agência do governo norteamericano.
        
Uma análise realizada pelo um grupo de pesquisadores em cibersegurança Talos explica o funcionamento do código. Basicamente, o vírus tenta se conectar a um domínio específico e, ao fracassar, ele sequestra os dados da máquina. Mas se o vírus consegue se conectar o ataque é interrompido. Assim, o cadastro do domínio realizado pela MalwareTech permitiu que as conexões fossem realizadas e impediu que novos computadores fossem atacados. Uma amostra do funcionamento do código pode ser vista abaixo.
        
É importante notar que o ransomware conhecido como WannaCry estava atrelado ao domínio registrado pelo MalwareTech, sendo possível que variações deste vírus surjam e tentem conexões com outros dominíos não registrados, ou que contenham linhas de código que troquem o domínio de tempos em tempos. Assim, a solução da MalwareTech foi fundamental para a resolução do problema daquela versão do vírus mas é apenas paliativa em um contexto mais geral.
        
Este ataque nos oferece diversas lições. Primeiro nos mostra que nenhum sistema é totalmente seguro, já que usuários comuns e grandes empresas podem ser facilmente monitoradas de forma ilegal por governos e grupos e que o vírus teve como molde um exploit produzido por uma agência de inteligência, vazado em meados de 2016.
        
Outra lição é a necessidade de se utilizar sistemas seguros e que tenham comprometimento com a segurança de seus usuários. A Microsoft, conhecida pelos escândalos relacionados à falta de preocupação com a privacidade de seus usuários, só divulgou a atualização que resolve o problema explorado pelo Wannacrypt em março deste ano e publicou orientação aos usuários do Windows em 12 de maio, depois do ataque, mesmo com os exploits amplamente divulgados nos vazamentos de 2016.
        
Outros sistemas operacionais realizaram as correções a tempo. Podemos tomar como exemplo o caso dos sistemas GNU/Linux, que possuem transparência e auditoria porque seus códigos são abertos. A própria comunidade tem o compromisso de buscar soluções rápidas de segurança, por meio da colaboração. Isso não quer dizer que usuários e usuárias de sistemas operacionais Linux podem ficar completamente relaxados. Vários dos exploits vazados da CIA, por meio do Wikileaks, e da NSA, por meio dos ShadowBrokers, usavam falhas do Linux e do sistema operacional Android, que usa kernel Linux e é o sistema mais usado em dispositivos móveis. É preciso manter os sistemas atualizados, para ter certeza de que a versão em uso já foi corrigida. E manter backups.
O ataque da semana passada também levantou uma questão fundamental: governos podem descobrir falhas em sistemas e, em vez de alertar público e empresas sobre elas, guardar segredo a respeito a fim de usá-las como armas em ciberguerras ou para vigilância? Esta questão foi levantada reiteradamente por Edward Snowden, por meio de sua conta no Twitter, desde que os ataques começaram.
A própria Microsoft, ao admitir pela primeira vez que o vírus usado nos ataques era de responsabilidade de NSA, fez o mesmo alerta em um comunicado: “Isso é o que acontece quando governos armazenam vulnerabilidades para explorá-las em vez de alertar as empresas para que sejam corrigidas. (…) Esta ataque é mais um exemplo de por que o armazenamento dessas vulnerabilidades por governos é um problema. Trata-se de um padrão que emergiu em 2017. Assistimos vulnerabilidades colecionadas pela CIA serem vazadas por meio do Wikileaks, e agora esta vulnerabilidade roubada da NSA afetou usuários em todo o mundo. Reiteradas vezes, exploits nas mãos de governos foram vazados para o domínio público e causaram danos generalizados. Um cenário equivalente com armas convencionais seria exécito dos EUA ter mísseis Tomahawk roubados. E esses ataques recentes têm um vínculo não intencional mas desconcertante entre as duas formas de ameaças existentes hoje à segurança cibernética — ações de Estados-Nação e ações do crime organizado. Governos de todo o mundo deveriam tratar este ataque como um alerta. Devem adotar uma abordagem diferente e aderir, no ciberespaço, às mesmas regras aplicadas ao mundo físico. É necessário que governos considerem os danos a civis causados pelo armazenamento dessas vulnerabilidades e uso desses exploits.
Nos termos usados pela Microsoft em um comunicado logo depois dos vazamentos da CIA feitos por meio do Wikileaks, é preciso criar uma “Convenção de Genebra Digital”, para impedir que cidadãos civis sejam atingidos por armas cibernéticas. Este é um debate que não pode ser feito apenas por governos — e suas agências de segurança — e empresas. Deve ser feito por toda a sociedade. 
Leia mais

 

Artigo Anterior

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *