De 12 a 13 de maio (menos de 48 horas), cerca de 200.000 organizações em 100 países, incluindo EUA, Europa e Asia foram vitimadas pelo “WannaCry”. O que torna este tipo de ataque singular é que ele é ao mesmo tempo “worm” e “ransomwarecer payload”. A vulnerabilidade explorada por ele não é nova, ela foi descoberta pela NSA, vazada pela Shadow Brokers e com correção liberada pela Microsoft em 14/03/17 com o código MS17-010. O fato novo é que os Hackers alavancaram as vulnerabilidades (apelidadas de EternalBlue e DoublePulsar), refinaram sua forma de ataque e apelidaram de WannaCry (nome real WanaCrypt0r).

Sua característica é a de se replicar de um sistema para outro sem a necessidade de interação do usuário para infectar um equipamento. Ele contém seu próprio scanner de rede que pode encontrar vitimas e se auto-propagar. Quanto a infecção ocorre, o “worm” procura por arquivos com extensão .doc, .xls, .ppt, .pst e .msg e faz a criptografia destes. Ele também foca em arquivos de banco de dados e outros.

Ao contrário de alguns artigos iniciais que informavam que a infecção inicial vinha por meio de um “phishing”, Wcry executa uma varredura da porta 445 para determinar se a máquina tem a vulnerabilidade MS-17-010. Se o equipamento é vulnerável, ele envia uma mensagem para o Microsoft Server Message Block Server (SMBv1). Esta vulnerabilidade permite a execução remota de código, que é o caminho através do qual ele se propaga.

Quando o “worm” infecta um equipamento, ele primeiro verifica se consegue se conectar com um endereço inexistente “http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea”.

Se a conexão é realizada com sucesso o “worm” é finalizado. Alias, isto remete a uma curiosidade, um pesquisador identificado como @malwaretechblog notou este fato e registrou este domínio com a intenção de monitorar a evolução da infestação. Com isto, o “worm” começou a ter sucesso na localização do endereço e a infecção parou temporariamente, o que fez com que a HackerOne concedesse um prêmio de $ 10,000 ao pesquisador. Infelizmente, novas versões do “worm” foram lançadas com uma URL diferente ou até sem esta função de finalização.

Por outro lado, caso o acesso ao endereço não tenha sucesso ele inicia o processo de procura e criptografia dos arquivos para posteriormente cobrar o resgate em Bitcoins. Até 29 de maio, o site elliptic “https://www.elliptic.co/wannacry/” havia registrado US$ 123,355.61 em transferências.

O endereço “https://www.endgame.com/blog/technical-blog/wcrywanacry-ransomware-technical-analysis” possui uma excelente descrição técnica da forma como o “worm” trabalha, mostrando inclusive códigos estudados e resultados. A figura 1, extraída deste site, mostra o esquema de funcionamento do “worm”.

Finalmente, o grupo Shadow Brokers está de volta com uma nova advertência no blog contendo mais vulnerabilidades, o que podem atrair de novo as atenções dos hackers e do público em geral. Por isto é importante ter a correção MS 17-010 aplicada, SMB v1, Server Service e portas NetBIOS (principalmente a 445) fechadas, desabilitadas ou monitoradas além de, se possível, efetuar o gerenciamento de vulnerabilidades e scan periódicos da rede. Também vale a pena mencionar que a Microsoft lançou a correção para antigos sistemas operacionais Windows incluindo XP, Vista, Server 2003 e 2008.

Figura 1. Fluxo de execução do WannaCry

Este artigo utilizou como base as seguintes fontes:

https://itspmagazine.com/itsp-chronicles/wcry-a-simple-attack-that-took-down-the-internet” de Dr. Chenxi Wang

https://www.endgame.com/blog/technical-blog/wcrywanacry-ransomware-technical-analysis” de Amada Rousseau

https://www.beyondtrust.com/blog/wannacry-ransomware-attack-explained-makes-me-wanna-cry/” de Morey Haber