O Ransomware parece ser o primeiro a ser P2P usando uma exploração SMB do NSA Leak no mês passado.

O wanna ransomware WannaCrypt, também conhecido como WanaCrypt ou Wcry, explodiu hoje em 74 países, infectando hospitais, empresas como Fedex, estações ferroviárias, universidades, pelo menos uma empresa de telecomunicações nacional e mais organizações.

Em resposta, a Microsoft lançou patches de segurança de emergência para se defender do malware em versões não suportadas do Windows, como XP e Server 2003, além de versões modernas.

Para recapitular, o WannaCrypt é instalado em computadores Windows vulneráveis ​​por um worm que se espalha por redes, explorando uma vulnerabilidade nos serviços de compartilhamento de arquivos SMB da Microsoft. Abusa especificamente um bug designado MS17-010 que Redmond corrigiu em março para as versões modernas do Windows e hoje para as versões herdadas – todos os sistemas sem patch restantes são, portanto, vulneráveis ​​e podem ser atacados.

Esse bug foi, uma vez, explorado pela NSA para seqüestrar e espionar seus alvos. Sua ferramenta interna para fazer isso, codinome Eternalblue, foi roubada da agência e vazou on-line em abril – colocando essa arma cibernética do governo dos EUA nas mãos de qualquer infrator disposto. Quase imediatamente, foi usado para seqüestrar milhares de máquinas na internet.

Agora, alguém pegou essa ferramenta e a amarrou ao ransomware: o resultado é uma variante do WannaCrypt, que se espalha por SMB e, depois de pousar em um computador, criptografa o máximo de arquivos possível. Ele cobra US $ 300 ou US $ 600 em Bitcoin para restaurar os documentos. É hábil em interromper escritórios e residências bloqueando seus dados.

Parecia haver mais de 100.000 hosts infectados e um grande número pagou aos invasores mais de US $ 25.000 (não é um dia de pagamento tão bom, considerando a cobertura da mídia).

Além disso, em um movimento muito incomum, a Microsoft lançou patches para todas as versões do Windows (incluindo o XP) para a exploração SMB usada no malware. Não que eu espere que a maioria das pessoas que são marteladas por ele instale patches ou bloqueiem o acesso à porta 445 pela Internet … ou qualquer outra coisa remotamente sensata.

E instala o Doublepulsar, um backdoor que permite que a máquina seja controlada remotamente. Essa é outra ferramenta roubada da NSA vazada ao lado do Eternalblue. O malware também é controlado pela rede Tor anônima, conectando-se a serviços ocultos para receber mais comandos de seus mestres.

Felizmente, uma opção de interrupção foi incluída no código. Quando detecta a existência de um domínio da web específico, interrompe mais infecções. Esse domínio foi criado hoje mais cedo por um órgão infosec do Reino Unido, que viu a pontocom no binário de engenharia reversa; esse registro foi detectado pelo ransomware, que imediatamente interrompeu sua disseminação mundial.

As conexões com o domínio mágico – iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com – foram perfuradas em um servidor na Califórnia, e os administradores de sistemas infectados que chegam à pontocom serão notificados, informaram-nos. “Os endereços IP do nosso sumidouro foram enviados ao FBI e ao ShadowServer, para que as organizações afetadas recebam uma notificação em breve”, disse o pesquisador. O corpo da infosec admitiu ter registrado o domínio primeiro, depois percebeu que era uma opção de matar. Ainda assim, trabalho feito.

A parte mais interessante para mim foi quando um Malware pesquisado desativou acidentalmente a disseminação do ransomeware registrando um domínio que ele usava como killswitch.

Como parar acidentalmente um ataque cibernético global

Para ser justo, chamá-lo de acidental é bastante humilde, mas ele não pretendia desativar a propagação. O malware verificou um domínio não registrado para ver se foi resolvido, se saiu, pois provavelmente significa que está sendo executado em uma caixa de areia e está sendo examinado ou com engenharia reversa.

O problema era que esse cara registrava o domínio; portanto, após a propagação, ele sempre era resolvido, o que significa que todas as novas instâncias do WannaCry falhavam.