WannaCry: como funciona – e será que ainda existe?

WannaCry (que em português significa algo como “quero chorar”) é um ransomware que foi usado para lançar os célebres ciberataques do mesmo nome, em 2017. Os hackers tinham como alvo computadores Windows, em qualquer parte do mundo, e exigiam pagamentos de resgate em Bitcoin para devolverem os dados aos proprietários. Foi utilizada a exploração (exploit) EternalBlue, criada pela Agência Nacional de Segurança dos Estados Unidos (NSA). O significado de ransomware encontra-se juntando “ransom” (resgate) e “software”; trata-se de software concebido para pedir resgates.

O ataque começou a 17 de maio de 2017 e afetou cerca de 300 000 computadores em mais de 150 países. O resgate exigido era relativamente baixo (entre 300 e 600 dólares), o que até “convidava” as vítimas a pagar na esperança de resolver o problema. Mas os danos causados estimam-se em milhões de dólares.

Entre as vítimas de maior porte deste ciberataque, e que terão recebido pedidos de resgate muito superiores a 600 dólares, estão o Serviço Nacional de Saúde do Reino Unido (NHS), a Renault ou a transportadora FedEx. Todavia, os países mais afetados pareceram ser a Rússia, a Ucrânia, a Índia e Taiwan.

O ciberataque deu fama ao hacker britânico Marcus Hitchins, por ter conseguido parar o ataque durante largas horas ao descobrir o “kill switch” que impedia os aparelhos infetados de contagiarem outros. Ironicamente, Hitchins viria a ter problemas com a justiça por se ter dedicado também ao cibercrime; o combate ao WannaCry valeu a seu favor em tribunal.

Diversos governos de países democráticos (Estados Unidos, Japão, Nova Zelândia) apontam a Coreia do Norte como responsável por este ciberataque. Os investigadores apontaram semelhanças no código encontrado com o de “trabalhos” do grupo Lazarus, conhecida organização norte-coreana, bem como metadados de origem coreana no próprio ransomware.

As definições académicas do conceito de estado pária podem variar consideravelmente. Mas se quisermos identificar um país que viva permanentemente isolado e à margem de qualquer convivência internacional, esse país é a Coreia do Norte. Os níveis extremos de secretismo e a postura agressiva e de desprezo em relação a grande parte do sistema internacional, e até mesmo a países potencialmente próximos como a China, ajudam a tornar a definição consensual.

Para além das denúncias que têm sido feitas por outros países, é fácil de compreender a provável postura do governo da Coreia do Norte no que toca ao lançamento de ransomware. Pela sua orientação política, o país tem muito pouco a perder e muito a ganhar ao constituir-se como ciberpirata estatal em permanência. É fácil de imaginar que uma equipa de cérebros, misto de funcionários públicos e militares, tenha os melhores recursos do estado norte-coreano à disposição para criar maneiras de saquear fortunas (dólares, criptomoedas, etc.) no resto do mundo, ao longo do ciberespaço.

O WannaCry encripta os dados da vítima e exibe uma mensagem exigindo um pagamento em troca da chave de desencriptação. A vítima recebe instruções no ecrã com os passos a seguir. Se não for feito o pagamento, os cibercriminosos apagam os dados.

Como referimos, o Wannacry explora uma vulnerabilidade criada pela NSA. Esta vulnerabilidade havia sido vazada pelo grupo de hackers The ShadowBrokers. Os hackers descobriram que o protocolo SMB (server message block) em Windows permitia a injeção de pacotes com código arbitrário. Embora a Microsoft tenha lançado um patch para corrigir o problema, muitas organizações não aplicaram essa correção em tempo útil.

Ao entrar no aparelho, o Wannacry começa por procurar o nome de domínio kill switch utilizado para parar malware. Se não o encontrar, extrai e instala a aplicação que vai encriptar e desencriptar os dados, ficheiros com as chaves de desencriptação e uma cópia do Tor. Em seguida, começa a encriptar ficheiros presumivelmente mais importantes como os que têm extensões .doc, vídeos ou até mp3. Finalmente, sempre através da vulnerabilidade EternalBlue, tenta espalhar-se para outros computadores.

O WannaCry funciona de forma muito semelhante à de um vírus endémico, como o da gripe. Não se pensa nele e muitas pessoas estão imunizadas, mas as que não estão tornam-se vítimas em estado grave. Sabe-se que o WannaCry continua a invadir sistemas que não tenham recebido o patch e a criar novas vítimas. O patching ainda não é uma prática universal, e o vírus corre mais rápido.

Veja alguns conselhos para se defender de ataques como os do WannaCry:

Atualize o software

Mantenha o seu software sempre atualizado, implementando os patches mais recentes. O Wannacry teria sido muito menos agressivo se a maioria dos utilizadores procedesse sistematicamente à atualização dos seus programas.

Use software antivírus

Utilize sempre uma ferramenta de cibersegurança adequada para localizar e eliminar malware que se tenha instalado no seu aparelho ou rede.

Proteja-se e impeça que as ameaças entrem no seu sistema

A ferramenta de Proteção contra vírus e ameaças da NordVPN permite-lhe combater os ataques de malware antes mesmo que eles se instalem, silenciosa e secretamente, nos seus dispositivos e na sua rede.

Mantenha-se alerta contra todas as formas de phishing

Não abra links, não clique em anúncios nem descarregue ficheiros que lhe mereçam a menor ponta de desconfiança. Adote uma atitude de ceticismo permanente em relação aos conteúdos a que acede na net, tal como faz relativamente a estranhos que lhe batam à porta.

Cuidado com as pens

As pens são menos usadas agora que há uns anos, devido ao florescimento da cloud. Mas precisamente por isso passámos a dar-lhes menos importância, a pensar que “isto não tem nada de mal”. Uma pen abandonada cirurgicamente por um hacker é um bom meio para levar a vítima, por curiosidade, a verificar o que terá dentro e a infetar assim o seu próprio computador.

Use uma VPN

Use uma VPN sempre que se ligar a um wi-fi público, de modo a que nenhum bisbilhoteiro possa intercetar o seu tráfego e comunicações.

Faça backups

Mantenha backups, isto é, cópias de segurança dos seus registos, de modo a que um eventual ataque de ransomware seja menos perigoso (evitando pagar o resgate e usando as suas cópias, em vez disso). Certifique-se que os seus backups se mantêm igualmente fora do alcance dos ciberatacantes.

Dê um passo rumo a um futuro mais seguro e proteja-se hoje.