[Segurança] Ataque massivo do ransomware WannaCry em todo o mundo!

Nesta sexta-feira, 12/05, "sexta-feira dia da maldade", o dia amanheceu com várias notícias de que empresas em todo o mundo estão sofrendo ataques sérios de Ransomware., batizado de "WannaCry" ("Quero Chorar"), WannaCrypt ou Wcry. A notícia é real e merece atenção urgente de todos os profissionais de segurança.

Inicialmente as principais notícias falavam de empresas espanholas terem sido atacadas (veja o alerta do CERT na Espanha), mas há também notícias similares vindas da Europa e Ásia, incluindo Inglaterra, Italia, Portugal, Alemanha, Russia e China (que está sendo sendo atacada desde 11/5). Grandes empresas e órgãos de governo no Brasil também foram atacadas, e a lista só aumenta.

Ainda no primeiro dia (12/05) já se falava que a infecção pelo WannaCry tinha atingido pelo menos 74 países e continuava a se espalhar rapidamente. A origem do ataque ainda não foi confirmada, mas pelos relatos que eu li, me parece que o ataque do WannaCry começou na Rússia e China, depois seguiu para a Europa até chegar no Brasil e América Latina. Esse é um trajeto muito óbvio, na medida em que ele está seguindo o Sol: o ataque pareceu se expalhar na medida que os países amanheciam. Os EUA, por sorte, foram pouco afetados pois quando amanheceu por lá o resto do mundo já estava combatendo o WannaCry e já haviam descoberto o "kill switch" (mais detalhes abaixo).

Surgiram notícias de que a origem do WannaCry poderia estar ligada a um grupo hacker da Koreia do Norte. Eu, particularmente, acho isso um pouco improvável, pois se assim fosse, eles teriam evitado que o Ransomware atacasse a Rússia e, principalmente, a China. Ou será que ele foi criado na China?

Já é muito provável que praticamente todos os países do mundo já tenham sofrido com o ransomware WannaCry, e este incidente está sendo chamado de "a maior infecção de ransomware da história". O site MalwareTech disponibilizou dois mapas mostrando a evolução do ataque ao redor do mundo: um com estatísticas e mapa com todos os ataques e outro mapa com os ataques acontecendo em tempo real.

Não é a toa que teve extensa cobertura da mídia, especializada ou não.

Há notícias de centenas de empresas que foram infectadas ou que, para evitar a infecção, optaram por preventivamente destivar sua rede e desligar seus computadores.

Segundo várias fontes confiáveis, o ataque é causado pelo ransomware WannaCry (ou Wcry, WannaCryptor), que está explorando a vulnerabilidade MS17-010 (corrigida em Março deste ano, ela permite remote code execution em computadores com Microsoft Windows através do Server Message Block 1.0 - SMBv1) utilizando o exploit EternalBlue. Segundo a Forbes, "uma ferramenta vazada de NSA, um exploit do Microsoft Windows chamado EternalBlue, está sendo usado para espalhar rapidamente a variante de ransomware chamado WannaCry em todo o mundo".

A pesquisadora Amanda Rousseau, da Endgame, publicou um excelente artigo e infográfico descrevendo o processo de infecção do Ransomware WanaCry. Resumidamente, parafraseando o blog da Amanda, ele começa a infecção com um teste inicial ("beacon"), a função "kill switch" que ele verifica se pode continuar a infecção. Em seguida, ele tenta explorar a vulnerabilidade MS17-010 com o exploit EternalBlue (usando a implementação disponível no Metasploit) e se propagar para outros hosts. Em seguida que ele vai causar dano ao sistema, primeiro instalando o que necessita para causar os danos e ser pago para a recuperação, e após feito isso, o WannaCry começa a criptografar os arquivos na máquina.

Após infectar sua vítima, e antes mesmo de começar a criptografar os arquivos, o ransomware utiliza o protocolo SMB para infectar outras máquinas na mesma rede local e na Internet (ele gera endereços IP randômicos para tentar se espalhar pela Internet).

Uma vez infectada a máquina, ele encripta os arquivos e exige um resgate de 300 dólares, a serem pagos em bitcoins em, no máximo, 7 dias (o valor do "sequestro" aumenta para US$ 600 após as primeiras 72 horas). O WannaCrypt então mostra uma tela de aviso ao usuário de que seus dados estão "sequestrados" e troca o fundo de tela do desktop, além de disponiilizar um arquivo com instruções.

É interessante notar também que os casos anteriores que ouvi sobre Ransomware, os valores dos resgates estavam sempre em torno de 100 dólares. Ou seja, o preço de resgate exigido pelo WannaCry é mais caro do que o normal.

O grande segredo da rápida proliferação do WannaCry em todo o mundo e do desespero criado por ele está justamente na sua capacidade de se expalhar e de infectar suas vítimas muito, muito rapidamente. Ao contrário da maioria dos vírus que estamos acostumados hoje em dia, que se proliferam através de arquivos infectados compartilhados por mensagens de phishing (e, portanto, exigem que o usuário receba o e-mail, abra e baixe e execute o arquivo com o malware), o WannaCry se espalha automaticamente pela rede e utiliza um exploit para infectar automaticamente qualquer computador vulnerável, sem necessidade de nenhuma intervenção do usuário. A máquina é infectada sem que a vítima precise abrir e executar nada. Basta estar com o computador ligado (e vulnerável).

O interessante é que já fazem vários anos que não vemos uma grande infestação global por esse tipo de código malicioso, que chamamos de "worm" ("verme"). De fato, podemos dizer que temos algumas gerações de profissionais no mercado de segurança que não passaram pelo Code Red (2001), Ninda (2001), SQL Slammer (2003), Blaster (2003) e nem mesmo pelo Conficker, em 2008.

Veja algumas características desse ransomware que eu acho que são muito interessantes:

• Como disse, ele é um ransomware que se comporta como um "worm", infectando novas vítimas automaticamente através da rede local e da Internet, sem necessidade de intervenção do usuário;
• Ele usa rede TOR para se comunicar com os seus servidores de controle, o que dificulta muito a detecção e bloqueio dessa comunicação;
• Ele continua encriptando arquivos enquanto está ativo. Se incluir algum novo arquivo na máquina infectada, ele será criptografado também;
• Se alguém tenta extrair o executável do ransomware para análise, ele se auto-destrói;
• O ransomware suporta 28 linguages diferentes, o que mostra o objetivo de seus autores de fazer uma infecção global!
• Após infectar uma vítima, o WannaCry primeiro tenta invadir outras máquinas, e só depois ele começa a encripitar os arquivos. Isso é interessente pois, se ele primeiro fizesse o sequestro de dados, seria percebido pelo usuário antes que conseguisse se espalhar.

Dando uma olhada nas carteiras bitcoin (11...Ln, 1Q...iY, 13...94, 12...Mw) que eles aparentemente estão usando, até o momento poucas pessoas já pagaram o ransomware. As 15h40 do dia 12/05 constavam apenas 30 pagamentos. Isso é normal, pois as vítimas geralmente esperam até o último momento para pagar um ransomware, na expectativa de que vão descobrir como removê-lo - ou por conta da dificuldade de um usuário comum em comprar bitcoins.

• Atualização: as 2am de 14/05 essas carteiras já tinham recebido 123 pagamentos e acumulado cerca de 20 bitcoins (mais de 30 mil dólares). Esse valor subiu para cerca de 25 bitcoins as 3:30am de 15/05;
• Até 24/06, foram feitos 335 pagamentos, acumulando cerca de 51,9 bitcoins (mais de 142 mil dólares).

Quer saber quanto tem sido arrecadado com os resgates pagos pelas vítimas do WannaCry? Além do site "howmuchwannacrypaidthehacker.com", também foi criado um bot que a cada 2 horas publica no Twitter @actual_ransom o total de bitcoins (e dólares) pagos.

A partir da análise detalhada da Kaspersky e do SANS, junto com algumas informações da Microsoft, podemos destacar alguns indicadores do ataque (IOC):

• Hash (SHA256) dos códigos executáveis (Esta é a lista original, pois já apareceram centenas de variações, com hashs distintos):
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
  • 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
  • 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
• Hash (MD5) dos códigos executáveis, segundo a Kaspersky (Esta é a lista original, pois já apareceram centenas de variações, com hashs distintos):
• 4fef5e34143e646dbf9907c4374276f5
• 5bef35496fcbdbe841c82f4d1ab8b7c2
• 775a0631fb8229b2aa3d7621427085ad
• 7bf2b57f2a205768755c07f238fb32cc
• 7f7ccaa16fb15eb1c7399d422f8363e8
• 8495400f199ac77853c53b5a3f278f3e
• 84c82835a5d21bbcf75a61706d8ab549
• 86721e64ffbd69aa6944b9672bcabb6d
• 8dd63adb68ef053e044a5a2f46e0d2cd
• b0ad5902366f860f85b892867e5b1e87
• d6114ba5f10ad67a4131ab72531f02da
• db349b97c37d22f5ea1d1841e3c89eb4
• e372d07207b4da75b3434584cd9f3450
• f529f4556a5126bba499c26d67892240
• Após infectar a máquina, o ransomware tenta acessar o seguinte website:
• www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
• Foi encontrada uma variante que acessa outro domínio como "kill switch": ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
• Para tentar se espalhar, o WannaCry escaneia IPs da rede local e IPs válidos na Internet buscando pela porta TCP/445
• Servidores de comando e controle escondidos na rede TOR:
  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • Xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion
  • sqjolphimrr7jqw6.onion
• Extensão de arquivo associadas ao ransonware: .WNCRY
• Por exemplo, o arquivo "file.docx" é encriptado e renomeado para "file.docx.WNCRY"
• Ao se instalar, ele cria o arquivo %SystemRoot%\tasksche.exe
• Ao se instalar, ele cria o serviço mssecsvc2.0
• Arquivo de aviso colocado no computador da vítima: @Please_Read_Me@.txt
• Ele cria ou altera as seguintes chaves de registro no Windows:
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “\tasksche.exe”
• HKLM\SOFTWARE\WanaCrypt0r\\wd = “”
• HKCU\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”
• Ele cria diversos arquivos no computador da vítima, incluindo os seguintes:
• r.wnry
• s.wnry
• t.wnry
• taskdl.exe
• taskse.exe
• 00000000.eky
• 00000000.res
• 00000000.pky
• @WanaDecryptor@.exe
• m.vbs
• @WanaDecryptor@.exe.lnk

Diversos pesquisadores de malware encontraram a senha "WNcry@2o17" dentro do código do WannaCrypt, e rapidamente algumas pessoas começaram a especular que esta seria a senha para desencriptar os arquivos. Isso não é verdade! Esta senha é utilzada pelo ransomware para baixar seu payload: ele baixa um arquivo Zip protegido com ela.

Na verdade, o WannaCry utiliza o algoritmo de criptografia AES para criptografar os arquivos da vítima e para guardar essa senha de criptografia dos arquivos ele utiliza criptografia de novo, usando o algoritmo RSA com chave de 2048 bits. Além do mais, é muito pouco provável que essa senha servisse para desencriptar os arquivos pela própria natureza dos rasomwares modernos: eles criptografam os arquivos utilizando algoritmos e chaves de criptografia forte.

Segundo o post no MalwareReverse, foram encontradas chaves de criptografia no arquivo 00000000.pky, aonde fica a chave pública utilizada pelo ransomware e no 00000000.eky, que também é uma chave utilizada para encriptar os arquivos.

Algumas recomendações:

• Antes de mais nada, mantenham seus computadores Windows atualizados, para evitar serem infectados pelo Ransonware. O patch e dicas de como remediar a vulnerabilidade estão dsponíveis desde Março deste ano;
• A Microsoft também publicou um artigo com orientações para os usuários do Windows sobre como evitar o ataque e disponibilizou patches para versões antigas do Windows;
• Use servidores Linux e desktops / notebooks da Apple (muahahahahaha, desculpem, o espírito troll é mais forte do que eu);
• Bloquear o tráfego SMB na sua rede e desabilitar o protocolo SMB em seus servidores e desktops, que utiliza as portas 137 e 138 UDP e as portas TCP 139 e 445. Este protocolo, relacionado a vulnerabilidade do MS17-010, jamais deveria trafegar pela Internet. Ele deveria ser bloqueado pelos Firewalls de borda e desativado em servidores que não precisam dele sempre que possível;
• Não adianta tentar bloquear uma lista fixa de IPs associadas aos servidores de controle (C&C), pois o ransonware fala com os seus servidores através da rede TOR. Por isso é uma boa idéia bloquear ou monitorar o acesso das máquinas internas de sua rede para IPs externos associados a rede TOR. É possível baixar da Internet listas com esses IPs (são muitos, centenas ou milhares) A propósito, Kaspersky indicou, em seu blog, quais são os endereços desses servidores na rede TOR;
• A Trend Micro, Kaspersky, Symantec e a McAffee já tem vacina para esse ransomware;
• Um dos domínios que o malware usa para se comunidar já foi desabilitado e está resolvendo para um endereço IP inofensivo: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. É interessante que esse domínio era um "kill switch" que os pesquisadores descobriram acidentalmente, por sorte nossa, ao registrar o domínio: após se instalar, o WannaCry tenta acessar esse domínio e, se consegue, ele interrompe a infecção;
• Há várias histórias de empresas que estão desligando suas redes internas e seus computadores preventivamente, para evitar serem infectadas. Para ser sincero, não acho que elas estão erradas, pois isso evitaria a contaminação. Mas o mais importante mesmo é atualizar seus sistemas Windows.
• A minha sugestão, nesse caso, seria fazer uma parada emergencial programada: primeiro desliga as redes dos usuários (rede física e Wifi) e atualiza os servidores. Depois vai religando as redes dos usuários parcialmente e força a atualização das máquinas conforme elas voltam ao ar (fácil de fazer se você tem gestão centralizada delas).

Desde a quinta-feira, dia 18/5, surgiram notícias de que pesquisadores de segurança começaram a descobrir falhas no WannaCry que permitissem recuperar os arquivos encriptados, sem necessidade de pagar os ciber criminosos. Uma falha nas bibliotecas de criptografia da Microsofr e no seu uso permitiu recuperar a chave de criptografia RSA a partir de dados armazenados em memória, em algumas versões do Windows.

Assim, surgiram rapidamente algumas ferramentas:

• Wannakey - primeira ferramenta que surgiu, diz funcionar em Windows XP;
• WanaKiwi - consegue recuperar os primos em Windows XP, 2003 (x86), Vista, 2008, 2008 R2 e Windows 7.

Estas ferramentas procuram pelos números primos utilizados para gerar a chave privada RSA no processo wcry.exe. Este programa, que faz parte do WannaCry, usa as funções CryptDestroyKey e CryptReleaseContext que, no Windows XP, apaga as chaves de criptografia da memória, mas mantém os números primos na memória antes de liberar a memória associada ao processo

Além disso, em Junho pesquisadores da Kaspersky anunciaram que descobriram algumas falhas no código do WannaCry que permite recuperar os arquivos originais, antes de serem encriptados:

• Arquivos em folders "importantes" (como as pastas "Desktop" e "Documents") não podem ser recuperados, pois o WannaCry sobrescreve eles antes de apagá-los;
• Arquivos em outras pastas nas pastas nos discos do sistema operacional são movidos para a pasta escondida "%TEMP%\%d.WNCRYT" (aonde %d representa um número) e depois apagadas, mas de forma que qualquer ferramenta de recuperação de arquivos pode conseguir recuperá-los;
• Arquivos em discos que não são do sistema são movidos para a pasta “$RECYCLE” e configurados como "hidden+system". Devido a um bug, as vezes o arquivo pode não ser movido e é mantido na pasta original, e os arquivos originais podem ser recuperados por uma ferramenta de recuperação de arquivos;
• Arquivos com restrição de acesso "ready-only" não são removidos, apenas escondidos no sistema operacional usando a flag de "hidden". Uma busca simples pode encontrá-los.

Especialistas em segurança são unânimes em dizer que as vítimas não devem parar o resgate exigido pelos donos dos Ransomwares. Isso principalmente porque não há nenhuma garantia que o ciber criminoso irá cumprir a sua promessa. No caso do WannaCry, há um outro problema: ele não tem um mecanismo para verificar automaticamente que a vítima depositou o dinheiro na carteira bitcoin, então os criminosos tem que validar manualmente os pagamentos e também realizar manualmente o comando para liberar os arquivos.

É importante ter em mente que, a partir de agora, a tendência natural é que o WannaCry vai evoluir e novos Ransomwares vão surgir baseados nele. De fato, além de já terem aparecido centenas de variantes dele (versões do executável com assinatura MD5 diferente), já se fala do WannaCry 2.0, que não teria um "kill switch". Além disso, dois outros códigos maliciosos já surgiram com funcionamento similar ao Wannacry: o ransomware UIWIX e o malware Monero, que invade computadores para minerar moedas digitais.

As forças policiais estão trabalhando em cima do caso. A polícia francesa anunciou que, poucos dias depois de começar o ataque, já tinha identificado e apreendido 6 servidores de saída da Rede TOR localizados na França e que foram utilizados para comunicação do Wannacry.

Para saber mais:

• Blog do CERT.CCN "Identificado ataque de ransomware que afecta a sistemas Windows"
• Vídeo sobre o Ransonware WannaCryptor
• Na Microsoft:
  • Vulnerabilidade MS17-017 (Security Update for Microsoft Windows SMB Server - 4013389);
  • Descrição do ransomware Win32/WannaCrypt;
  • Artigo "Customer Guidance for WannaCrypt attacks"
  • Artigo no blog da Microsoft com muitos detalhes técnicos: "WannaCrypt ransomware worm targets out-of-date systems";
• Blog do SANS: ETERNALBLUE: Windows SMBv1 Exploit (Patched)
• Foi atacado por Ransonware? Visite o site www.nomoreransom.org
• Artigo do Brian Krebs: "U.K. Hospitals Hit in Widespread Ransomware Attack"
• Relatório da IBM contendo endereços IP relacionados ao ataque e uma assinatura para o SNORT
• Patch de Março da McAfee que protege contra a vulnerabilidade MS17-010
• Análise do Malware pela Hybrid Analysis
• Análise bem detalhada da Kaspersky
• Mapa online de ataques do WannaCrypt
• Neste meu post (de 2014), eu cito algumas ações preventivas que as empresas deveriam tomar
• Reportagem da Wired: "Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?"
• Alguns dos hashs conhecidos do WannaCrypt
• Post no Internet Storm Center do SANS: "Massive wave of ransomware ongoing"
• Extensa coletânea de informações sobre o WannaCry
• Ótima análise do site Malwarebytes
• Artigo do TrendLabs: "Massive WannaCry/Wcry Ransomware Attack Hits Various Countries"
• Uma galerinha criou um site para monitorar quanto foi arrecadado pelos criadores do WannaCry (monitorando 3 das carteiras de bitcoins deles): http://howmuchwannacrypaidthehacker.com
• Artigo do Ferfon: "Finalmente um ataque massivo de Ransomware"
• Artigo técnico nacional, bem bom: "Análise do ransomware WannaCry"
• Artigo bem legal do Atanai Ticianelli: "5 Estratégias de Derrota no Jogo da (Cyber) War"
• Entrevista com o Fábio Assolini, que defende o não pagamento do resgate: "Pagar recompensa a hackers deve ser evitado, diz especialista"
• Artigo interessante; "A History of Ransomware Attacks: The Biggest and Worst Ransomware Attacks of All Time"
• Excelente texto e infográfico da Amanda Rousseau: "WCry/WanaCry Ransomware Technical Analysis"
• Bot que publica no Twitter o total de bitcoins pagos pelas vítimas: @actual_ransom
• Post muito bom do Troy Hunt: "Everything you need to know about the WannaCry / Wcry / WannaCrypt ransomware"
• Artigo bem objetivo do TheHackersNews: "WannaCry Ransomware: Everything You Need To Know Immediately"
• "5 Emergency Mitigation Strategies to Combat WannaCry Outbreak"
• "WannaCry Kill-Switch(ed)? It’s Not Over! WannaCry 2.0 Ransomware Arrives"
• Post da TrendLabs: "After WannaCry, UIWIX Ransomware and Monero-Mining Malware Follow Suit"
• Artigo na Wired: "A WannaCry Flaw Could Help Some Victims Get Files Back"
• Artigo explicando o funcionamento das ferramentas para recuperar a have de criptografia do WannaCry: "WannaCry — Decrypting files with WanaKiwi + Demos"
• "Is WannaCry the First Nation-State Ransomware?"
• "The WannaCry Ransomware Hackers Made Some Real Amateur Mistakes"
• O nosso amigo YouTuber Fernando Mercês publicou dois vídeos sobre o Wannacry em seu canal:

• "Before WannaCry, Cryptocurrency Miners Exploited SMB Flaw" - ou seja, o WannaCry atrapalhou a vida do pessoal que criou esse código malicioso, pois a galera no mundo inteiro começou a atualizar seus computadores e corrigir a falha do SMB;
• "Ransomware and What You Can Do to Help Protect Your Data"
• Artigo interessante: "WannaCry's Ransom Note: Great Chinese, Not-So-Hot Korean"
• A TrendMicro publicou um pequeno vídeo que resume um pouco como se prevenir do ataque do WannaCry;
  
• Artigo da Kaspersky sobre como é possível recuperar alguns arquivos: "WannaCry mistakes that can help you restore files after infection"
• 5 lições que devemos aprender com o WannaCry e suas variações
• Episódio do Podcast Segurança Legal sobre o Wannacry
• British Security Services Tie North Korea to WannaCry
• French Police Seize 6 Tor Relay Servers in WannaCry Investigation
• Artigo interessante no Blog da RSA: "What Your Business Can Learn from WannaCry"
• O Dr. Walter Capanema fez uma palestra bem legal na Campus Party Brasília 2017: "A Lei e o Ransomware"

• This heat map shows how WannaCry spread around the world like an epidemic
• WannaCry is back! Virus hits Australian traffic cameras and shuts down a Honda plant in Japan
• Postmortem Finds NHS 'Could Have Prevented' WannaCry

Nota: Vou continuar atualizando esse post conforme identifico mais informações relevantes. Post atualizado pela última vez no dia 31/10/17.

Nota2: Também escrevi um FAQ sobre o WannaCry, para resumir os pontos principais, já que este artigo está gigante.