Como se deve proteger contra o WannaCry

Valter Santos, Threat Intelligence Researcher na AnubisNetworks

Na passada sexta feira, 12 de maio, um ataque de ransomware em larga escala afetou diversas organizações em todo o mundo, contando já com mais de 200 mil infecções em mais de 150 países.

O malware, conhecido como “WannaCry”, tem a capacidade de se disseminar através do serviço Server Message Block (ou SMB) do sistema operativo Windows, juntando características de ransomware com a de um worm e explorando vulnerabilidades neste serviço, nomeadamente a CVE-2017- 0147 (MS17-010) ao usar os módulos EternalBlue e a backdoor DoublePulsar trazidas a público pelo grupo The Shadow Brokers no passado dia 14 de abril.

Depois de um sistema ser comprometido, o ransomware encripta vários tipos de ficheiros pessoais e solicita um resgate entre EUR 270 e EUR 550.

O vetor inicial de compromisso é ainda desconhecido. Existem algumas sugestões de que uma campanha de distribuição de emails maliciosos está na origem da introdução do malware nos primeiros sistemas vítimas, mas todas as evidências analisadas até agora sobre este tópico não o confirmam. Aliás, todos os indicadores relevantes distribuídos pertencem a uma diferente família de ransomware, Jaff, que terá sido distribuída massivamente também no passado dia 11 de maio, gerando alguma confusão.

O compromisso inicial via o serviço SMB do Windows (porta TCP 445) poderá ser um possível vetor inicial de compromisso, tendo em conta as capacidades de worm do malware e de se disseminar desta forma. Um sistema que exponha este serviço para a Internet, tanto numa rede corporativa como um portátil, pode ser usado para infetar sistemas internos numa rede devido à má segmentação da mesma ou à mobilidade dos utilizadores.

O malware é constituído por dois componentes: um componente principal que contém a capacidade de worm via SMB e um componente de ransomware (o WannaCry). Quando o malware é executado, faz um pedido ao domínio www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com, caso receba uma resposta HTTP válida a componente de worm não é executada, impedindo a sua disseminação. Este domínio funciona como um botão de desligar do worm (“killswitch”) e pensa-se que foi colocado pelo(s) autor(es) propositadamente para controlar o nível da propagação do malware, impedindo-o de infectar outros sistemas tanto locais como na Internet caso o domínio esteja ativo.

O domínio foi registado no dia 12 de maio por volta das 15h por investigadores, limitando a propagação do malware. Com ou sem domínio ativo, o componente de ransomware será executado no sistema infetado, o “killswitch” só serve para impedir que esse sistema infecte outros sistemas.

Existem três wallets Bitcoin conhecidas para onde são feitos os pagamentos dos resgates. Às 10:20 de 15 de maio, esses wallets contabilizavam um total de cerca de €45.000, tendo sido realizados cerca de 187 pagamentos.

Como se deve proteger contra o WannaCry:

● Instale a atualização de segurança do Windows relativa ao MS17-010 em todos os sistemas da rede. A Microsoft disponibilizou a mesma para sistemas que já não eram suportados, como o Windows XP.
● Desative a versão 1 do SMB (SMBv1) no domínio Windows ou em todos os sistemas Windows da rede.
● Não bloqueie o domínio www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Ao contrário do normal, este domínio impede que o worm seja ativado, e o malware espera receber uma resposta válida do mesmo para não se propagar para outros sistemas da rede local ou na Internet.
● Como o domínio está neste momento, operado por investigadores e não por criminosos, pode deixar que o tráfego entre os sistemas infetados e o mesmo passe na sua rede.
● Caso não seja uma opção, crie uma zona DNS para este domínio e aponte-o para um sistema interno capaz de devolver uma resposta HTTP válida. Esta opção, deverá ser seguida também por quem possua uma proxy não transparente na rede, uma vez que o malware não funciona bem através de proxies e como tal nunca irá receber uma resposta válida ativando o componente de worm.
● Caso tenha sistemas já infectados, não pague o resgate, não faça parte do 0,0001% que está a pagar aos criminosos.

De forma geral, mantenha os seus sistemas atualizados e realize backups de forma regular. A prevenção ainda é a melhor estratégia para combater o ransomware. Para mais informações sobre ransomware em geral, visite o projeto No More Ransom.

---