DevSecOps

23 mai, 2017

Veja como o ransomware WannaCry poderia ter sido muito pior

Publicidade

Dificilmente você não ouviu falar sobre a propagação do ransomware WannaCry/WannaCrypt. A infecção começou na sexta-feira, 12 de maio de 2017 explorando o MS17-10, uma vulnerabilidade do compartilhamento de arquivos Samba do Windows. O vírus explorava uma vulnerabilidade conhecida, criptografava os arquivos e extorquia os proprietários das máquinas com Windows cobrando resgate para descriptografar os arquivos.

Como um bom worm, ele viralizou em uma escala sem precedentes. Mas existem algumas decisões de design neste criptolocker que evitaram que fosse ainda pior.

Esse artigo é um experimento mental; a próxima vulnerabilidade provavelmente vai implementar algum desses métodos. Certifique-se de estar preparado.

Time Based Encryption

O ransomWare WannaCry encontrou a vulnerabilidade, instalou a criptografia e imediatamente começou a criptografar os arquivos.

Imagine o seguinte cenário:

Dia 1: O worm se espalha e infecta SMBs vulneráveis, instala uma backdoor, fica quieto, infecta outras máquinas

Dia 14: O worm se ativa e começa a criptografar os arquivos

Com o WannaCrypt, foram apenas algumas horas para a infecção atingir uma escala global, alertando a todos que alguma coisa grande estava acontecendo. Os principais meios de comunicação perceberam. Estações de trem mostravam telas criptografadas. Todos começaram a corrigir a falha. E se o worm tiver alguns dias de vantagem?

Ficando quieto, o agressor corre o risco de ser pego, mas em muitos casos isso pode ser evitado excluindo redes IPv4 conhecidas para bancos ou organizações governamentais. Quantas pequenas empresas ou grandes organizações você acha que notariam um .exe extra sendo executado no background? Não o suficiente para disparar uma cobertura mundial, eu aposto.

Arquivos Autodestrutíveis

Uma variação do cenário acima:

Dia 1: O worm se espalha, explora a vulnerabilidade SMB, criptografa cada arquivo, mas ainda permite que os arquivos sejam abertos. (Isso era possível com atalhos para os arquivos, que primeiro abriam um tipo de script que descriptografava o arquivo antes de ele ser aberto. A chave de criptografia estava armazenada na memória e era solicitada novamente para os servidores de comando e controle sempre que a máquina fosse reiniciada).

Dia 30: O worm se ativa, remove a chave de criptografia para acesso aos arquivos e solicita o pagamento.

Como estão seus backups nesse ponto? Todos os arquivos na máquina têm um tipo de bomba relógio escondida. Cada versão daquele arquivo que você tem como backup está infectada. Quanto mais eles consigam se manter escondidos, maior o estrago.

Existem mais variações, com Excel ou macros em VBA, etc., e todas de resumem a: modificar o arquivo e torná-lo inutilizável a menos que a identificação apropriada seja providenciada.

Extorsão com seus amigos

O esquema atual é: seus arquivos são criptografados, você pode pagar para tê-los de volta.

E se os arquivos que você é responsável não forem seus? E se os arquivos são de colegas, família ou amigos? E se você tivesse que pagar $300 para recuperar os arquivos de alguém que você conhece?

A pressão dos companheiros funciona, principalmente se eles jogam o “jogo da culpa”. É sua culpa se alguém que você conhece foi infectado. Você se sente responsável? Isso faria você pagar?

De um ponto de vista técnico, é difícil, mas não impossível identificar as associações de uma vítima. Isso poderia acontecer somente em uma escala menor, mas poderia produzir maiores lucros?

CryptoLocker + DDoS ao Windows Updater?

Aproximadamente 200 mil computadores com Windows afetados foram pegos ­online. Provavelmente existem mais, que não foram contabilizados nos relatórios ainda. São poucos computadores para ter sob controle, do ponto de vista do invasor.

As notícias estão saltando na mídia, encorajando todo mundo a atualizar. E se as 200 mil máquinas infectadas fossem lançar um ataque DDoS contra os servidores do Windows Updater? Com todos tentando atualizar, os alvos possíveis estão diminuindo a cada hora.

Se você pudesse efetivamente derrubar a maneira que os usuários têm para se proteger, você poderia criar um caos ainda maior e um mercado maior a ser infectado.

O próximo CryptoLocker não será “apenas” um CryptoLocker, provavelmente ele vai combinar sua capacidade de criptografia com meios ainda mais prejudiciais.

Fique Seguro

Como prevenir-se?

  1. Habilite as atualizações automáticas de todos os seus sistemas (!!!)
  2. Faça back-ups com frequência, e guarde eles por bastante tempo

Quer mais detalhes? Veja meu post anterior: “Fique Seguro Online – Um guia rápido para pessoas não técnicas” (em inglês).

***

Mattias Geniar faz parte do time de colunistas internacionais do iMasters. A tradução do artigo é feita pela Redação iMasters, com autorização do autor, e você pode acompanhar o artigo em inglês no link:  https://ma.ttias.be/ways-wannacrypt-ransomware-much-worse/