IT Forum 365
ransomware wanna cry

Do you WannaCry? Veja por que este ransomware é só a ponta do Iceberg

Os desafios de segurança digital corporativa hoje são bem maiores, por conta do aumento dos dispositivos digitais conectados. Mas os erros das empresas são exatamente os mesmos cometidos 14 anos atrás.

Por DENIS SOUZA*

O tema ransomware não é nada novo, mas o que realmente significa? Podemos dizer que ransomware é um código malicioso usado por criminosos digitais para sequestrar dados e orquestrar ataques com o objetivo de desvio financeiro ou extorsão (cyber extorsão).

O motivo para o ataque de ransomware é sempre monetário. A vítima é informada que o ataque está ocorrendo e é detalhadamente instruída sobre como o pagamento deve ser feito para obter suas informações de volta – ou evitar que algo confidencial seja divulgado pelo cibercriminoso.

Importante deixar claro que não existe nenhuma garantia de que o criminoso vai realmente cumprir sua promessa depois de o pagamento ser feito. Geralmente é usada uma criptomoeda (bitcoin) para proteger a identidade dos criminosos e dificultar o rastreamento do dinheiro pago.

O modelo padrão de funcionamento do ransomware baseia-se em mudar a senha do logon da vítima e criptografar o disco do computador infectado. Após o ataque básico, o computador é reiniciado com o objetivo de mostrar a mensagem de resgate para o usuário, indicando as instruções para pagamento.

Segundo a Carbon Black, um importante fornecedor de hardwares e softwares de segurança, o ano de 2016 demonstrou um crescimento de 50% nos ataques de ransomware a indústrias quando comparado ao ano de 2015. O setor de manufatura teve um crescimento de 21,8% e o setor de energia e utilitários apresentou um aumento de 16,4%.

Por que isso acontece

Os diferentes crescimentos se baseiam em diversos fatores, como:

  • Grande quantidade de frameworks ou kits para desenvolvimento de variações para ransomware existentes ou para a criação de novas famílias de ransomware podem ser encontrados facilmente na Deep/Dark Web;
  • Uso a preços irrisórios de programas focados em Ransomware as a Service (RaaS), permitindo a elaboração de um ataque com pouquíssimo esforço;
  • Empresas continuam sem política para atualização de sistemas operacionais, deixando que funcionem equipamentos com falhas muito antigas em seus ambientes;
  • Ausência de proteções adequadas para o e-mail. Grande parte dos ataques entram no ambiente corporativo pelo e-mail, levando o destinatário a abrir arquivos anexados ou a instalar aplicativos em seus computadores;
  • Falta de treinamento dos usuários com foco em apresentar as armadilhas dos criminosos cibernéticos. E também a inexistência de política de segurança nos ambientes corporativos.

Infelizmente a tendência de 2016 foi mantida não só para ransomware, mas também para as ameaças disfarçadas, também conhecida como trojans (Cavalos de Troia). Segundo o relatório Desenvolvimento de Ameaças de Computador, elaborado pelo Kaspersky Lab, uns dos mais respeitados centros de estudos de ameaças digitais, foram identificadas 11 novas famílias de trojans e 55.679 novas modificações foram encontradas só no primeiro trimestre de 2017.

Os maiores vetores são: 1- os navegadores Web; 2- o sistema operacional Android, 3- ataques focados em documentos do Microsoft Office. Os próximos vetores de ataques são as aplicações feitas com a linguagem de programação Java, aplicações envolvendo Adobe Flash e documentos em PDF.

Realmente, o ano de 2017 foi a concretização de uma tendência de crescimento que começou em 2014. Coincidindo com a data em que o número de dispositivos móveis começou a crescer assustadoramente em comparação com os anos anteriores. Hoje não temos só a possibilidade de contaminar dispositivos móveis, mas também de atacar dispositivos ligados às plataformas de Internet das Coisas (IoT). Segundo um estudo da GSMA Intelligence, o braço de pesquisa da GSMA, em 2020 teremos quase três quartos da população mundial conectados. Imagine o que aconteceria se estes dispositivos forem dominados por atacantes digitais.

Novas surpresas anuais

A cada ano as surpresas são mais devastadoras, estejam elas focadas em ransomware ou em outros programas maliciosos. No final de 2016, vivenciamos o maior ataque digital histórico, deixando diversas empresas sem acesso à internet, atingindo 665Gbps de tráfego e mais de 130 milhões de pacotes por segundo, para contaminar ambientes em mais de 164 países.

Este ataque foi associado ao malware Mirai, que envolveu uma botnet com mais de 500.000 dispositivos digitais conectados sob domínios dos atacantes digitais. O Brasil foi o segundo pais com maior concentração de computadores contaminados pelo Mirai nesta época. A falha foi na ausência de procedimentos adequados que deveriam guiar a mudança da senha padrão dos usuários administrativos. Algo básico que deveria ser orientado de maneira automática pelos fabricantes de hardware.

Muitas vezes, para olhar o presente e validar o futuro, devemos olhar para o passado. Em 2003, o mundo sofreu com o malware SQL Slammer, criado para explorar uma vulnerabilidade em ambientes Microsoft SQL Server 2000 desatualizados. No final de 2016, este ataque tornou a ocorrer, com origem fundamentada nos países China, Vietnã, México e Ucrânia.

WannaCry é só o começo

Com tudo isto em mente, como foi o ataque digital guiado pelo WannaCry, que criou cerca de 200.000 infecções em mais de 150 países, e como ele continua a se espalhar?

Primeiro precisamos observar que os computadores afetados exibiam mensagens com pedidos de resgate entre US$ 300 e US$ 600. O segundo ponto importante é que pesquisadores estimam a criação do WannaCry baseada na divulgação de uma vulnerabilidade (EternalBlue) pelo grupo de atacantes digitais Shadow Brokers. A vulnerabilidade possibilita a execução remota de código e foi identificada pela Microsoft em 14 de março de 2017 (MS17-010). Nessa época, a própria Microsoft considerou-a como crítica, afetando sistemas operacionais como Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1/8.1 TR, Windows Server 2012/2012 R2, Windows 10 e Windows Server 2016.

Sem dúvida é um cenário mais do que crítico. Se olharmos com cuidado, veremos que existe algo em comum entre os malwares SQL Slammer e o Mirai com o ransomware WannaCry. Além do componente humano, que por padrão adiciona centenas de falhas, existe a ausência de procedimentos para a análise e correção de vulnerabilidades. Observe que se passaram 14 anos desde a criação do SQL Slammer e o problema continua o mesmo, sendo tratado da mesma maneira por grande parte das empresas em diversos países ao redor do mundo. Essa é a verdadeira explicação de termos hoje algo tão devastador.

Por esta razão, diversas empresas na Espanha, Taiwan, Rússia, Portugal, Ucrânia, Turquia e Reino Unido foram afetadas pelo WannaCry. Segundo a própria Telefônica, 85% dos seus computadores em Madri foram contaminados, fazendo com que seus funcionários retornassem para casa a pedido da própria empresa. Imagine o prejuízo financeiro! Segundo o jornal Valor Econômico, mais de 220 companhias com mais de 1,1mil computadores comprometidos foram alvo do WannaCry no Brasil.

Por que os erros se repetem?

Em 2014, escrevi um artigo descrevendo algumas ameaças presentes em Smartphones e o mais incrível é que o discurso sobre a proteção pode ser aplicado ao cenário que temos hoje, mesmo sendo ele muito pior do que o cenário de 2014. Segundo a Nokia Threat Intelligence Report, o mercado de malware para mobile banking está tão aquecido que cresceu 400% em 2016. Junte isso com a pesquisa da FGV mostrando que o Brasil já tem um smartphone para cada habitante (208 milhões de smartphones) e teremos um oceano de possibilidades para os terroristas digitais.

Se você ainda não está preocupado com o WannaCry, deveria. E também deveria estar preocupado com o malware Adylkuzz, pois as previsões apontam para algo muito pior do que o WannaCry.

Apesar de explorar as mesmas vulnerabilidades, o comportamento é diferente, não havendo bloqueio do acesso ao computador, usando o ambiente infectado como parte da sua botnet. Botnets podem conter centenas de milhares de computadores controlados remotamente e prontos para responder a comandos dos atacantes digitais.

Os desafios não são os mesmos, são bem maiores. Mas os erros sim, são exatamente os mesmos cometidos no passado. Os erros das empresas hoje repetem erros cometidos a 14 anos atrás. Continuamos fornecendo artefatos, criando possibilidades gigantes para os atacantes digitais. Se você sente que vive em um momento de calmaria, possivelmente você se encontra no olho do furacão.  Vejo mais do que uma tempestade se aproximando, vejo um verdadeiro furacão de contato.

*DENIS SOUZA é analista sênior de produtos do UOL DIVEO

Comentários

Notícias Relacionadas

IT Mídia S.A.

Copyright 2018 IT Mídia S.A. Todos os direitos reservados.