Quero chorar
Mapa estimado dos países infectados.
Primeira versão | 12 de maio de 2017 |
---|---|
Modelo | Ataque de computador |
WannaCry , também conhecido como WannaCrypt , WanaCrypt0r 2.0 ou similar, é um malware do tipo ransomware auto-replicante.
Dentro Maio de 2017, é usado durante um ataque cibernético global maciço, afetando mais de 300.000 computadores, em mais de 150 países, principalmente na Índia , Estados Unidos e Rússia e usando o sistema obsoleto Windows XP e mais geralmente todas as versões anteriores do Windows 10 não tendo realizado as atualizações de segurança, em particular a do14 de março de 2017 (Boletim de segurança MS17-010).
Este ciberataque é considerado o maior resgate de hackers da história da Internet , o escritório europeu de fontes Europol chamando-o de "um nível sem precedentes" e acrescentando que "ele deve em qualquer caso um resgate".
Entre as organizações mais importantes afetadas por este ataque, encontramos em particular as empresas Vodafone , FedEx , Renault , Telefónica , o Serviço Nacional de Saúde , o Hospital Universitário de Liège , o Ministério do Interior da Rússia e a Deutsche Bahn .
Este malware usa a vulnerabilidade de segurança EternalBlue explorada pela NSA e roubada pelos Shadow Brokers , um grupo de hackers. Esta falha foi corrigida desde o mês demarço de 2017pela Microsoft via MS17-010 como parte de seu Patch Tuesday .
Esse vírus foi falado novamente, atacando o 23 de junho de 2017em uma das fábricas do grupo automotivo Honda , localizada em Sayama, no Japão , e isso ocorre cinco dias antes do início de outro grande ataque cibernético global, o NotPetya .
As primeiras infecções ocorreram na Espanha ou no Reino Unido antes de se espalharem para o resto do mundo em poucas horas. Na primeira noite, o suposto número de contaminações foi de 100.000 sistemas Windows . Parece que os primeiros vestígios do vírus remontam a fevereiro anterior. Algumas empresas optaram por interromper as linhas de produção contaminadas na tentativa de impedir a propagação.
O Sistema Nacional de Saúde (NHS) do Reino Unido é uma das principais vítimas do ransomware. Cinquenta hospitais do SNS, ou seja, 20% deles, estão preocupados. Na verdade, eles têm dezenas de milhares de computadores ainda usando o Windows XP .
Foi possível atrasar a propagação do vírus registrando um nome de domínio específico, um killswitch , que um pesquisador britânico fez . Isso seria segurança projetada pelos próprios desenvolvedores do software. O vírus se espalha enquanto o nome de domínio definido acima não for registrado, mas a etapa de propagação é inibida se for o caso. Era sobre iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Essa trégua durou pouco, pois o vírus se adaptou a partir de então. Pelo menos duas outras variações se espalharam logo depois, uma das quais não incluía a segurança do nome de domínio. O nome de domínio resultante de uma das segundas dessas variantes é ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, ambos tendo o mesmo sufixo. Vários outros "disjuntores" foram gradualmente identificados. Também inclui um reinício automático em caso de interrupção da execução. Da mesma forma, além da criptografia dos arquivos de trabalho do usuário, o software modifica os volumes do sistema para interferir nos antivírus que não são ativados a tempo.
A BBC afirma que este vírus é uma expressão de insatisfação com as políticas de Donald Trump . Alguns jornalistas fazem a conexão com a recusa da Apple em compartilhar técnicas delicadas com a NSA durante uma das investigações antiterrorismo desta última em 2015.
Como a maioria dos vírus de computador , esse vírus é transmitido pela rede local e pela Internet por meio de anexos contaminados enviados por um grande número de e-mails por meio de um botnet . Esta tese é polêmica, pois nenhum vestígio desses e-mails foi encontrado: “Todo mundo está procurando aquele famoso e-mail inicial e, em quatro dias, nenhuma equipe conseguiu colocar as mãos nele. » Diz Vincent Nguyen, gerente da Wavestone responsável pela CERT-Wavestone.
Uma segunda tese é apresentada por pesquisadores que afirmam que seus honeypots simplesmente conectados à Internet foram contaminados muito rapidamente. É, portanto, autorreplicante.
Comum a todos os ransomware , uma vez que a contaminação ocorre, o vírus criptografa todos os arquivos no computador afetado e exibe uma nota de resgate para o usuário.
Em seguida, ele se espalha conectando-se a outros computadores vulneráveis, de forma completamente autônoma. O sistema operacional Linux, incorporando parcialmente o protocolo Samba , não parece ser o alvo.
Este ransomware é caracterizado pela velocidade de seu ataque, afetando centenas de milhares de máquinas ao redor do mundo em um fim de semana. A frequência de ataque foi de pelo menos uma tentativa por segundo e 226.800 endereços IP atribuídos a seu ponto forte. Da mesma forma, não parece ter sido objeto de fases de teste, mas antes de um período de investigação preliminar. Assim, nem o rastro de uma organização criminosa , nem o de um ataque do Estado (ou patrocinado pelo Estado ) estão excluídos. A Europol afirma que nenhum país é particularmente visado.
O resgate exigido é, também aqui, uma soma em bitcoins , de valor relativamente baixo, entre 300 e 600 dólares . Inicialmente é 300 e aumenta para 600 após três dias, se o usuário ainda não tiver pago, os dados serão excluídos após sete dias. Os perpetradores contam com o grande número de infecções. Normalmente, depois que o resgate é pago, uma chave de criptografia mantida por hackers desbloqueia o computador, mas não há garantia. De fato, o código analisado mostra que a descriptografia dos arquivos requer uma intervenção manual por parte dos criminosos.
Os especialistas afirmam, portanto, que mesmo que o resgate seja pago, os usuários têm pouca chance de ter seus arquivos descriptografados e de serem capazes de recuperá-los. Da mesma forma, nenhuma recuperação de arquivo bem-sucedida foi detectada até agora. Como as transações de bitcoin são públicas, os criminosos teriam recebido 51,92 bitcoins, ou mais de $ 95.000 no momento do ataque. Um robô Twitter foi criado para mostrar o aumento dessa quantia.
Dada a magnitude do impacto potencial sobre seus clientes e seus negócios, a Microsoft disponibilizou atualizações de segurança excepcionalmente para plataformas que não mantém mais, ou seja, Windows XP , Windows 8 e Windows Server 2003 . A empresa afirma que o Windows 10 não foi afetado. Brad Smith (en) , chefe da empresa, aponta a responsabilidade das agências de inteligência em casos desse tipo e espera que isso as torne cientes de sua responsabilidade: “Este ataque fornece um novo exemplo para ilustrar o problema .governamental armazenamento de lacunas ” .
Na França, o Ministério Público de Paris confiou uma flagrante investigação ao Escritório Central de Luta contra o Crime Relacionado às Tecnologias de Informação e Comunicação para "acesso fraudulento e manutenção em sistemas automatizados de processamento de dados", "Dificultando o funcionamento desses sistemas" e “Extorsão e tentativa de extorsão. O Serviço de Polícia Europeia Europol também está a trabalhar neste caso. Diz-se que esse ataque causou dezenas de milhões de dólares em danos.
Os usuários da Internet que viram seus computadores infectados são aconselhados a manter uma cópia dos arquivos criptografados. Na verdade, é possível que um pesquisador encontre posteriormente uma maneira de decifrá-los.
Na Suíça, o Centro Central de Registro e Análise para Segurança da Informação disse que o ataque cibernético infectou quase 200 máquinas em todo o país.
Poucos dias depois, um segundo ataque cibernético em grande escala, Adylkuzz , atingiu centenas de milhares de computadores; ele explora as mesmas falhas de segurança do WannaCry. Então o27 de junho de 2017, outro ataque cibernético em grande escala, NotPetya , afetou centenas de milhares de computadores, também explorando essas vulnerabilidades.
A pesquisa está olhando para o " paciente zero ", o primeiro computador a ser infectado.
Embora seja muito difícil identificar a origem do ataque, os pesquisadores de segurança de computadores comunicaram uma provável ligação com a Coreia do Norte . O engenheiro Neel Nehta, cientista da computação, funcionário da empresa Google , postou trechos do código-fonte que demonstrariam certas semelhanças entre esse novo vírus e outra série de hacks atribuídos a este país asiático. Os hackers norte-coreanos suspeitos pertencem ao coletivo Lazarus Group (in) , tendo observado em 2007, conforme afirmado pela Kaspersky.
Outros pesquisadores também fizeram a conexão com hackers chineses. Os especialistas do Flashpoint analisaram as mensagens de resgate do WannaCry em 28 idiomas diferentes. Os resultados mostram que os hackers falam chinês fluentemente, cuja mensagem é gramaticalmente melhor construída e contém mais informações. As demais traduções foram obtidas na mensagem em inglês (contendo erro gramatical grave) e no Google Translate . Os pedaços de programa que apontam para o coletivo Lazarus Group (en) poderiam ter sido implantados no malware apenas para cobrir os rastros dos hackers.
Em agosto de 2017, o pesquisador britânico Malwaretech, que ajudou a parar o vírus, foi preso em Las Vegas, onde estava na Def Con. A prisão, no entanto, não está relacionada ao WannaCry, mas diz respeito a outro software de roubo de informações de transações bancárias. Essa prisão é polêmica na comunidade de defensores de direitos na Internet: a Electronic Frontier Foundation mobilizou advogados para fazer valer os direitos do hacker e apurar o real motivo de sua prisão.
Um grupo de três franceses especialistas em segurança de computadores desenvolveu um software chamado Wanakiwi , uma ferramenta para recuperar o acesso a dados bloqueados. Este software funciona em Windows XP , Windows Vista e Windows 7 e foi aprovado pelo European Police Office Europol .
Como muitos ransomware, WannaCry gera duas chaves para criptografar dados. Um é público e o outro é privado . Depois que o malware é instalado, a própria chave privada é criptografada. O vírus usa funções criptográficas no Windows para gerar essas chaves, mas essas funções gravam brevemente a chave privada não criptografada na RAM do computador. Foi assim que eles conseguiram criar este software capaz de buscar rastros dessa chave privada para desbloquear o acesso aos arquivos.
O grupo clama por reatividade porque “essa memória é automaticamente esvaziada após sete dias”. Além disso, para que essa solução funcione, os computadores afetados não devem ter sido reiniciados após a infecção, pois a RAM é volátil. Wanakiwi funciona em 60% dos casos para máquinas que executam o Windows XP. No Windows 7, a taxa de sucesso está atualmente estagnada em 10%.
Vários utilitários foram construídos que permitem a proteção contra a quebra de segurança, entre os quais WannaSmile, que desabilita certas funções dos sistemas Windows usados pela vulnerabilidade e WannaPatch, da francesa SysStreaming, que detecta se um sistema está vulnerável e, se for. é o caso, o que permite o download imediato do patch apropriado.