Explicando o que é o ataque WannaCry

Para começar, o WannaCry é um ataque ransomware com o objetivo principal de invadir o sistema da vítima, bloquear o acesso aos arquivos e exigir um pagamento pelo resgate, ou seja, pela devolução dos arquivos ‘’sequestrados’’.

Basicamente, esse cybercrime funciona em dois estágios: a invasão do sistema e a replicação dentro do sistema invadido. Para entender melhor como este tipo de ataque funciona, primeiro temos que saber mais sobre o que é o próprio WannaCry.

WannaCry é um tipo de ransomware, ou seja, uma categoria de malware (ou software malicioso) usado para sequestrar dados das vítimas e bloquear o acesso a eles através de criptografia. Além disso, ele também é considerado como um tipo de worm, já que ele consegue se replicar automaticamente, sem a necessidade de uma interação humana.

Então, o WannaCry (que também é conhecido como WannaCrypt) é um dos tipos mais agressivos de ransomware (saiba mais sobre os diferentes tipos de ransomware). Ele apareceu em 2017 em uma onda global de ciberataques e se espalhou rapidamente através de uma imensidão de computadores (principalmente aqueles com sistemas Windows).

De início, a série de ataques do WannaCry foi interpretada como uma onda de ataque phishing, só que ele se espalhou por meio de um exploit chamado EternalBlue que usava uma vulnerabilidade de segurança no sistema Windows.

Só no primeiro dia dos ataques, ele infectou mais de 23000 computadores através de 150 países. Pessoas físicas, empresas, organizações e até mesmo instituições governamentais foram atingidas por ele.

Os cibercriminosos usaram o WannaCry para invadir sistemas, capturar dados e informações e aí cobravam resgates (geralmente pagos em criptomoedas) para liberar o acesso aos dados capturados, extorquindo as vítimas.

Os principais alvos do WannaCry são computadores que usam SO (sistema operacional) Windows, principalmente aqueles que estão desatualizados e que apresentam mais brechas de segurança. E ele ainda é um ransomware bastante utilizado.

Os ciberataques feitos com o WannaCry exploram uma vulnerabilidade no sistema Windows, mais conhecida como MS17-010. Para conseguir fazer isto, eles usam um exploit (ou seja, um código malicioso usado para aproveitar vulnerabilidades em software e hardware) chamado EternalBlue.

Ele tem como alvo principal redes que usam um protocolo de compartilhamento de arquivos chamado SMBv1, usado para ajudar dispositivos a realizar comunicação com outros dispositivos (como impressoras, por exemplo) dentro da mesma rede.

O comportamento do WannaCry é bem parecido com o de um worm (um tipo de vírus que se multiplica sozinho, de forma autônoma), o que facilita a propagação dele através dos dispositivos e das redes, o que torna o ataque WannaCry bastante volátil e de rápida propagação em sistemas e redes vulneráveis.

Depois de infectar um sistema usando o EternalBlue, o WannaCry usa um backdoor (uma porta de acesso que permite ao hacker burlar um sistema de defesa da vítima) chamado DoublePulsar, um trojan (também conhecidos como Cavalos de Tróia) que tem como objetivo permitir o acesso ao sistema da vítima, além do controle remoto por parte dos cibercriminosos.

Além disso, eles também permitem ao hacker fazer modificações no sistema, excluir e alterar arquivos, executar programas e também instalar outros tipos de malware.

Aí, com o sistema já infectado pelo WannaCry, o hacker consegue bloquear o acesso aos arquivos da vítima e cobrar um resgate pela devolução deles – além de infectar outros dispositivos presentes na rede ou até se replicar através de e-mails infectados.

O principal nome responsável por descobrir uma forma eficiente de interromper a onda de ataques cibernéticos com o WannaCry foi Marcus Hutchins, pesquisador e especialista em cibersegurança.

Ele percebeu que, após invadir um sistema, o WannaCry fazia uma tentativa de se conectar a uma URL em específico. Se esta URL não fosse encontrada, então o WannaCry infectava o sistema invadido e realizava a criptografia (ou o bloqueio) dos dados presentes no sistema.

Aí, Hutchins criou um DNS sinkhole,ou seja, um servidor DNS configurado para fazer a distribuição de endereços que não são roteáveis, direcionando estes endereços para um nome de domínio específico, impedindo que o computador infectado acesse o website real.

Resumindo: ele conseguiu fazer com que, ao invés de acessar a URL original programada para o WannaCry, o ransomware fosse direcionado para um outro endereço falso. Depois, os cibercriminosos começaram a atacar a URL criada por Hutchins através de um botnet Mirai em um ataque cibernético de DDoS (Distributed Denial of Service, ou ‘’distribuição de negação de serviço’’) com o objetivo de derrubar a URL.

Só que Hutchins conseguiu defender o servidor com um website em cache, o que fazia com que ele conseguisse aguentar um nível de tráfego muito alto. Correções de segurança no sistema Windows e melhorias na infraestrutura de segurança digital fizeram com que a onda principal fosse controlada, mas o ransomware WannaCry ainda é muito usado e continua sendo uma ameaça real.

Na onda inicial de ataques com o WannaCry, mais de 230 mil computadores foram invadidos no mundo inteiro. A Telefónica (uma empresa de telecomunicações da Espanha) foi uma das primeiras grandes vítimas do WannaCry vírus.

O NHS (National Health System, ou ‘’Sistema Nacional de Saúde’’), no Reino Unido, também foi muito prejudicado pelo worm, que infectou 1/3 das unidades hospitalares do sistema. O prejuízo estimado foi de £92 milhões de libras e quase 20 mil consultas foram canceladas como consequência do ataque.

Hitachi, FedEx, Deutsche Bahn, LATAM Airlines Group, Honda, Renault e O2 são apenas alguns outros exemplos de empresas afetadas pelo ransomware, além de sistemas de gerenciamento de ferrovias russas. Além disso, agências de polícia na Índia e até mesmo a agência de segurança pública da China também foram afetadas.

Na Colômbia, o Instituto Nacional de Salud (‘’Instituto Nacional de Saúde’’) teve o funcionamento prejudicado pelo worm. No Canadá, a Universidade de Montreal sofreu com invasões pelo WannaCry. Na China, centros acadêmicos e de pesquisa como a Universidade de Tecnologia Aeroespacial de Guilin e a Universidade de Tecnologia Eletrônica de Guilin também tiveram as atividades comprometidas.

No Brasil, os sistemas do Tribunal de Justiça de São Paulo foram invadidos pelo ransomware. Nextel, NET e Vivo tiveram os serviços paralisados em decorrência do ataque. O INSS (Instituto Nacional do Seguro Social) e o Ministério Público ficaram com o s sistemas inoperantes.

No total, a onda de ataques com o WannaCry gerou um prejuízo de mais de US$4 bilhões de dólares no mundo inteiro, além de danos imensos por conta da interrupção de serviços essenciais como sistemas de transporte, de educação e de gerenciamento de saúde

A vulnerabilidade no Windows foi divulgada por um grupo intitulado Shadow Brokers que, ao invés de avisar a Microsoft, disseminou a informação online, o que permitiu que cibercriminosos se aproveitassem dela – e esta é uma das principais causas para a onda massiva de ataques com o WannaCrypt0r 2.0 (um dos nomes do WannaCry).

Apesar de ser bem agressivo e ainda estar em atividade, o WannaCry afeta principalmente computadores com sistemas Windows desatualizados. Então, as chances de ser vítima de um ataque com este ransomware em específico diminuem consideravelmente se você adotar algumas medidas de segurança básicas.

No geral, você pode sim sentir segurança em relação ao WannaCry. Mas isto não significa que você possa se descuidar da sua proteção porque o WannaCry não só ainda continua ativo como também foi sucedido por ameaças ainda mais destrutivas.

Manter seu sistema operacional sempre atualizado, um firewall sempre ativo e um bom antivírus são algumas medidas que melhoram significativamente sua proteção contra esta e outras ameaças, fazer uma verificação com um software antivírus eficiente e remover todas as ameaças encontradas.

Há vários tipos de malware que agem de forma silenciosa e praticamente imperceptível, só que o WannaCry (assim como a maioria das outras formas de ransomware) é bem explícito e exibe uma mensagem (em forma de pop-up) que avisa sobre o ataque e exige um pagamento pelo resgate dos arquivos e sistemas bloqueados.

Mas, e então? Dá para remover o ransomware WannaCry? Sim, dá. No Windows, o usuário pode reiniciar o sistema e usar o Modo Seguro com Rede ou reinstalar o sistema removendo todos os arquivos do computador e, junto com eles, o WannaCry.

Caso você não tenha um backup dos arquivos, pode ser praticamente impossível reduzir ou reverter os danos causados pela invasão. Apesar disto, há ferramentas disponíveis para fazer desfazer a criptografia e restaurar o acesso aos sistemas e arquivos bloqueados pelos hackers.

Entretanto, a prevenção é o melhor remédio e é muito melhor se proteger contra este tipo de ataque do que ter que se esforçar para remover uma ameaça como o WannaCry.

Ataques de ransomware formam uma das modalidades mais agressivas de ameaças cibernéticas e uma das principais fontes de prejuízo para pessoas, empresas e organizações de governos. A boa notícia é que você pode adotar várias medidas para se proteger e se prevenir contra os ataques de ransomware como o WannaCry:

Mantenha seus sistemas atualizados

Sistemas desatualizados são uma verdadeira porta de entrada para ransomware e inúmeras outras ameaças. Então, manter seu sistema operacional com todas as atualizações (principalmente as de segurança) elimina várias vulnerabilidades e diminui significativamente as chances de sofrer com ciberataques.

Habilite as atualizações automáticas do Windows Update (e também em outros sistemas operacionais que não sejam da Microsoft) e em todos os programas que você tiver, incluindo antivírus e outros recursos.

Evite links e anexos suspeitos

As ameaças digitais se espalham com facilidade através de links e anexos contaminados, difundidos através de ataques de phishing e de engenharia social. Abrir e-mails desconhecidos, entrar em websites estranhos e baixar qualquer coisa que você não possa ter certeza sobre a procedência e a confiabilidade são coisas extremamente arriscadas e que comprometem a integridade dos seus dados e do seu sistema. Só clique e baixe algo se você tiver total confiança na procedência do conteúdo.

Cuidado com o que você baixa

Antes de fazer download de algo, verifique se a fonte é segura. Programas de compartilhamento peer-to-peer (de pessoa para pessoa) facilitam muito a difusão de conteúdo, mas também podem ser extremamente perigosos para o seu sistema se você não verificar a origem e a procedência do arquivo. Muitos tipos de ameaças digitais são disseminadas disfarçadas de programas legítimos. Programas piratas também são uma grande fonte de ameaças ao seu computador. Então, todo cuidado é pouco.

Tenha muita cautela com dispositivos de armazenamento USB

Preste muita atenção em unidades de armazenamento, principalmente aquelas que são removíveis e que usam portas USB, já que eles também podem ser usados para infectar seu dispositivo com ransomware e outras formas de ameaças cibernéticas. Tenha certeza sobre a segurança do dispositivo antes de conectar qualquer coisa no seu computador.

Preste atenção nas redes públicas de Wi-Fi

Elas podem ser muito úteis e práticas, mas também são muito mais inseguras. Em geral, redes públicas de Wi-Fi não exigem nenhum tipo de autenticação para a conexão, o que faz com que o nível de segurança do Wi-Fi público seja muito baixo.

Use uma boa VPN

Usar uma VPN ajuda a proteger sua conexão. Com uma conexão VPN segura, seu fluxo de dados fica criptografado, o que aumenta sua privacidade e sua segurança online. Além disso, a NordVPN oferece recursos adicionais como a Proteção contra Ameaças, que age como uma proteção contra malware, ransomware e ataques de phishing – além de também oferecer proteção adicional caso você precise usar uma rede pública de Wi-Fi

Mantenha um backup dos seus dados

Outro ponto essencial é manter um backup dos seus dados, pelo menos dos mais importantes. É ainda melhor manter um backup em algum serviço/plataforma em nuvem. Assim, se você sofrer algum ataque de ransomware ou qualquer forma de ciberameaças que prejudique seus arquivos, é mais fácil contar com um backup deles, o que ajuda a minimizar danos e prejuízos em decorrência de ataques como o do WannaCry e outros tipos de scam.