Alert icon Keyboard navigation enabled.
Alert icon TAB or Shift+TAB to navigate across. Down ↓ to open menu. ESC to close menu.
Alert icon Down ↓ to select section. Right → to activate. Up ↑ / Down ↓ / Tab to traverse all. ESC to exit.
BeyondTrust
Skip to content Use space or enter to skip.

O que podemos ajudá-lo a encontrar hoje?

Resultados instantâneos
  • Resultados do site
  • Documentação Técnica

Opções de filtro

Refine sua pesquisa

Filtrando por

Suas pesquisas recentes:

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
  • Home
  • Conteúdos
  • Blog
  • WannaCry – Será se Você Sabe Que current page
Link copied

WannaCry – Será se Você Sabe Que

6 de jun. de 2017
Blog banner default
WannaCry – Será se Você Sabe Que

De 12 a 13 de maio (menos de 48 horas), cerca de 200.000 organizações em 100 países, incluindo EUA, Europa e Asia foram vitimadas pelo “WannaCry”. O que torna este tipo de ataque singular é que ele é ao mesmo tempo “worm” e “ransomwarecer payload”. A vulnerabilidade explorada por ele não é nova, ela foi descoberta pela NSA, vazada pela Shadow Brokers e com correção liberada pela Microsoft em 14/03/17 com o código MS17-010. O fato novo é que os Hackers alavancaram as vulnerabilidades (apelidadas de EternalBlue e DoublePulsar), refinaram sua forma de ataque e apelidaram de WannaCry (nome real WanaCrypt0r).

Sua característica é a de se replicar de um sistema para outro sem a necessidade de interação do usuário para infectar um equipamento. Ele contém seu próprio scanner de rede que pode encontrar vitimas e se auto-propagar. Quanto a infecção ocorre, o “worm” procura por arquivos com extensão .doc, .xls, .ppt, .pst e .msg e faz a criptografia destes. Ele também foca em arquivos de banco de dados e outros.

Ao contrário de alguns artigos iniciais que informavam que a infecção inicial vinha por meio de um “phishing”, Wcry executa uma varredura da porta 445 para determinar se a máquina tem a vulnerabilidade MS-17-010. Se o equipamento é vulnerável, ele envia uma mensagem para o Microsoft Server Message Block Server (SMBv1). Esta vulnerabilidade permite a execução remota de código, que é o caminho através do qual ele se propaga.

Quando o “worm” infecta um equipamento, ele primeiro verifica se consegue se conectar com um endereço inexistente “http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea”.

Se a conexão é realizada com sucesso o “worm” é finalizado. Alias, isto remete a uma curiosidade, um pesquisador identificado como @malwaretechblog notou este fato e registrou este domínio com a intenção de monitorar a evolução da infestação. Com isto, o “worm” começou a ter sucesso na localização do endereço e a infecção parou temporariamente, o que fez com que a HackerOne concedesse um prêmio de $ 10,000 ao pesquisador. Infelizmente, novas versões do “worm” foram lançadas com uma URL diferente ou até sem esta função de finalização.

Por outro lado, caso o acesso ao endereço não tenha sucesso ele inicia o processo de procura e criptografia dos arquivos para posteriormente cobrar o resgate em Bitcoins. Até 29 de maio, o site elliptic “https://www.elliptic.co/wannacry/” havia registrado US$ 123,355.61 em transferências.

O endereço “https://www.endgame.com/blog/technical-blog/wcrywanacry-ransomware-technical-analysis” possui uma excelente descrição técnica da forma como o “worm” trabalha, mostrando inclusive códigos estudados e resultados. A figura 1, extraída deste site, mostra o esquema de funcionamento do “worm”.

Finalmente, o grupo Shadow Brokers está de volta com uma nova advertência no blog contendo mais vulnerabilidades, o que podem atrair de novo as atenções dos hackers e do público em geral. Por isto é importante ter a correção MS 17-010 aplicada, SMB v1, Server Service e portas NetBIOS (principalmente a 445) fechadas, desabilitadas ou monitoradas além de, se possível, efetuar o gerenciamento de vulnerabilidades e scan periódicos da rede. Também vale a pena mencionar que a Microsoft lançou a correção para antigos sistemas operacionais Windows incluindo XP, Vista, Server 2003 e 2008.

Figura 1. Fluxo de execução do WannaCry

Este artigo utilizou como base as seguintes fontes:

“https://itspmagazine.com/itsp-chronicles/wcry-a-simple-attack-that-took-down-the-internet” de Dr. Chenxi Wang

“https://www.endgame.com/blog/technical-blog/wcrywanacry-ransomware-technical-analysis” de Amada Rousseau

Últimas postagens
  • Principais Previsões de Tendências de Segurança Cibernética para 2024
    out. 30, 2023 Principais Previsões de Tendências de Segurança Cibernética para 2024
    Blog
    1m
  • Como uma simples recomendação de segurança ajuda a resolver um grande problema antigo
    mai. 4, 2023 Como uma simples recomendação de segurança ajuda a resolver um grande problema antigo
    Blog
    1m
  • BeyondTrust Aponta Tendências em Cibersegurança para os Próximos 5 Anos
    out. 19, 2021 BeyondTrust Aponta Tendências em Cibersegurança para os Próximos 5 Anos
    Blog
    1m
  • O Trabalho Remoto Chegou para Ficar: seu Service Desk está Preparado?
    jul. 28, 2020 O Trabalho Remoto Chegou para Ficar: seu Service Desk está Preparado?
    Blog
    1m
  • Acesso remoto, Computação em Nuvem e Transformação Digital Chegaram para Ficar: o PAM é a chave para protegê-los
    jul. 23, 2020 Acesso remoto, Computação em Nuvem e Transformação Digital Chegaram para Ficar: o PAM é a chave para protegê-los
    Blog
    1m
Relacionado
  • Segurança de dados pessoais
    jan. 5, 2018 Segurança de dados pessoais
    Blog
    1m
  • Como uma simples recomendação de segurança ajuda a resolver um grande problema antigo
    mai. 4, 2023 Como uma simples recomendação de segurança ajuda a resolver um grande problema antigo
    Blog
    1m
Compartilhar este artigo
  • Link
Mantenha-se atualizado
Receba as últimas notícias, ideias e táticas da BeyondTrust. Você pode cancelar a inscrição a qualquer momento.

Fique atualizado

Suporte ao cliente Entre em contato com vendas
  • LinkedIn
  • X
  • Facebook
  • Instagram
  • Add BeyondTrust as a preferred source on Google
  • Privacidade
  • Security
  • Gerenciar configurações de cookies
  • Do Not Sell My Data
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.

Prefers reduced motion setting detected. Animations will now be reduced as a result.