BeyondTrust
Skip to content
  • Skip to content
Entre em contato com vendas

What can we help you with?

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
Entre em contato conosco Bate-papo com vendas Acesse suporte

WannaCry – Será se Você Sabe Que

junho 6, 2017

De 12 a 13 de maio (menos de 48 horas), cerca de 200.000 organizações em 100 países, incluindo EUA, Europa e Asia foram vitimadas pelo “WannaCry”. O que torna este tipo de ataque singular é que ele é ao mesmo tempo “worm” e “ransomwarecer payload”. A vulnerabilidade explorada por ele não é nova, ela foi descoberta pela NSA, vazada pela Shadow Brokers e com correção liberada pela Microsoft em 14/03/17 com o código MS17-010. O fato novo é que os Hackers alavancaram as vulnerabilidades (apelidadas de EternalBlue e DoublePulsar), refinaram sua forma de ataque e apelidaram de WannaCry (nome real WanaCrypt0r).

Sua característica é a de se replicar de um sistema para outro sem a necessidade de interação do usuário para infectar um equipamento. Ele contém seu próprio scanner de rede que pode encontrar vitimas e se auto-propagar. Quanto a infecção ocorre, o “worm” procura por arquivos com extensão .doc, .xls, .ppt, .pst e .msg e faz a criptografia destes. Ele também foca em arquivos de banco de dados e outros.

Ao contrário de alguns artigos iniciais que informavam que a infecção inicial vinha por meio de um “phishing”, Wcry executa uma varredura da porta 445 para determinar se a máquina tem a vulnerabilidade MS-17-010. Se o equipamento é vulnerável, ele envia uma mensagem para o Microsoft Server Message Block Server (SMBv1). Esta vulnerabilidade permite a execução remota de código, que é o caminho através do qual ele se propaga.

Quando o “worm” infecta um equipamento, ele primeiro verifica se consegue se conectar com um endereço inexistente “http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea”.

Se a conexão é realizada com sucesso o “worm” é finalizado. Alias, isto remete a uma curiosidade, um pesquisador identificado como @malwaretechblog notou este fato e registrou este domínio com a intenção de monitorar a evolução da infestação. Com isto, o “worm” começou a ter sucesso na localização do endereço e a infecção parou temporariamente, o que fez com que a HackerOne concedesse um prêmio de $ 10,000 ao pesquisador. Infelizmente, novas versões do “worm” foram lançadas com uma URL diferente ou até sem esta função de finalização.

Por outro lado, caso o acesso ao endereço não tenha sucesso ele inicia o processo de procura e criptografia dos arquivos para posteriormente cobrar o resgate em Bitcoins. Até 29 de maio, o site elliptic “https://www.elliptic.co/wannacry/” havia registrado US$ 123,355.61 em transferências.

O endereço “https://www.endgame.com/blog/technical-blog/wcrywanacry-ransomware-technical-analysis” possui uma excelente descrição técnica da forma como o “worm” trabalha, mostrando inclusive códigos estudados e resultados. A figura 1, extraída deste site, mostra o esquema de funcionamento do “worm”.

Finalmente, o grupo Shadow Brokers está de volta com uma nova advertência no blog contendo mais vulnerabilidades, o que podem atrair de novo as atenções dos hackers e do público em geral. Por isto é importante ter a correção MS 17-010 aplicada, SMB v1, Server Service e portas NetBIOS (principalmente a 445) fechadas, desabilitadas ou monitoradas além de, se possível, efetuar o gerenciamento de vulnerabilidades e scan periódicos da rede. Também vale a pena mencionar que a Microsoft lançou a correção para antigos sistemas operacionais Windows incluindo XP, Vista, Server 2003 e 2008.

Figura 1. Fluxo de execução do WannaCry

Este artigo utilizou como base as seguintes fontes:

“https://itspmagazine.com/itsp-chronicles/wcry-a-simple-attack-that-took-down-the-internet” de Dr. Chenxi Wang

“https://www.endgame.com/blog/technical-blog/wcrywanacry-ransomware-technical-analysis” de Amada Rousseau

Fique atualizado

Acesse as novidades, ideias e táticas mais recentes da BeyondTrust. Você pode cancelar o registro a qualquer momento.

Concordo em receber comunicações sobre os produtos da BeyondTrust conforme está detalhado na Política de privacidade de BeyondTrust,e posso gerenciar minhas preferências ou retirar meu consentimento a qualquer momento.

Up next

From 11 maio, 2017:
Quando Todos Têm Privilégios Ninguém Tem Proteção
From 9 novembro, 2017:
Webinar: Sete Passos para o Gerenciamento Completo de Contas Privilegiadas

You May Also Be Interested In:

Relatório BeyondTrust de Vulnerabilidades Microsoft 2022

Whitepapers

Relatório BeyondTrust de Vulnerabilidades Microsoft 2022

Guia do Comprador: Gerenciamento de Acessos Privilegiados (PAM)

Whitepapers

Guia do Comprador: Gerenciamento de Acessos Privilegiados (PAM)

Cinco Motivos para usar o Remote Support

Whitepapers

Cinco Motivos para usar o Remote Support

Fique atualizado

Concordo em receber comunicações sobre os produtos da BeyondTrust conforme está detalhado na Política de privacidade de BeyondTrust,e posso gerenciar minhas preferências ou retirar meu consentimento a qualquer momento.

  • LinkedIn
  • Twitter
  • Facebook
  • Instagram
Suporte ao cliente Entre em contato com vendas
  • Privacidade
  • Security
  • Gerenciar configurações de cookies
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.