O Ransomware parece ser o primeiro a ser P2P usando uma exploração SMB do NSA Leak no mês passado.
O wanna ransomware WannaCrypt, também conhecido como WanaCrypt ou Wcry, explodiu hoje em 74 países, infectando hospitais, empresas como Fedex, estações ferroviárias, universidades, pelo menos uma empresa de telecomunicações nacional e mais organizações.
Em resposta, a Microsoft lançou patches de segurança de emergência para se defender do malware em versões não suportadas do Windows, como XP e Server 2003, além de versões modernas.
Para recapitular, o WannaCrypt é instalado em computadores Windows vulneráveis por um worm que se espalha por redes, explorando uma vulnerabilidade nos serviços de compartilhamento de arquivos SMB da Microsoft. Abusa especificamente um bug designado MS17-010 que Redmond corrigiu em março para as versões modernas do Windows e hoje para as versões herdadas – todos os sistemas sem patch restantes são, portanto, vulneráveis e podem ser atacados.
Esse bug foi, uma vez, explorado pela NSA para seqüestrar e espionar seus alvos. Sua ferramenta interna para fazer isso, codinome Eternalblue, foi roubada da agência e vazou on-line em abril – colocando essa arma cibernética do governo dos EUA nas mãos de qualquer infrator disposto. Quase imediatamente, foi usado para seqüestrar milhares de máquinas na internet.
Agora, alguém pegou essa ferramenta e a amarrou ao ransomware: o resultado é uma variante do WannaCrypt, que se espalha por SMB e, depois de pousar em um computador, criptografa o máximo de arquivos possível. Ele cobra US $ 300 ou US $ 600 em Bitcoin para restaurar os documentos. É hábil em interromper escritórios e residências bloqueando seus dados.
Parecia haver mais de 100.000 hosts infectados e um grande número pagou aos invasores mais de US $ 25.000 (não é um dia de pagamento tão bom, considerando a cobertura da mídia).
Além disso, em um movimento muito incomum, a Microsoft lançou patches para todas as versões do Windows (incluindo o XP) para a exploração SMB usada no malware. Não que eu espere que a maioria das pessoas que são marteladas por ele instale patches ou bloqueiem o acesso à porta 445 pela Internet … ou qualquer outra coisa remotamente sensata.
E instala o Doublepulsar, um backdoor que permite que a máquina seja controlada remotamente. Essa é outra ferramenta roubada da NSA vazada ao lado do Eternalblue. O malware também é controlado pela rede Tor anônima, conectando-se a serviços ocultos para receber mais comandos de seus mestres.
Felizmente, uma opção de interrupção foi incluída no código. Quando detecta a existência de um domínio da web específico, interrompe mais infecções. Esse domínio foi criado hoje mais cedo por um órgão infosec do Reino Unido, que viu a pontocom no binário de engenharia reversa; esse registro foi detectado pelo ransomware, que imediatamente interrompeu sua disseminação mundial.
As conexões com o domínio mágico – iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com – foram perfuradas em um servidor na Califórnia, e os administradores de sistemas infectados que chegam à pontocom serão notificados, informaram-nos. “Os endereços IP do nosso sumidouro foram enviados ao FBI e ao ShadowServer, para que as organizações afetadas recebam uma notificação em breve”, disse o pesquisador. O corpo da infosec admitiu ter registrado o domínio primeiro, depois percebeu que era uma opção de matar. Ainda assim, trabalho feito.
A parte mais interessante para mim foi quando um Malware pesquisado desativou acidentalmente a disseminação do ransomeware registrando um domínio que ele usava como killswitch.
Como parar acidentalmente um ataque cibernético global
Para ser justo, chamá-lo de acidental é bastante humilde, mas ele não pretendia desativar a propagação. O malware verificou um domínio não registrado para ver se foi resolvido, se saiu, pois provavelmente significa que está sendo executado em uma caixa de areia e está sendo examinado ou com engenharia reversa.
O problema era que esse cara registrava o domínio; portanto, após a propagação, ele sempre era resolvido, o que significa que todas as novas instâncias do WannaCry falhavam.