Compartilhe:

Se você está acompanhando as notícias, deve saber que um pesquisador de segurança ativou o modo “KillSwitch”, onde aparentemente freou a propagação do ransomware WannaCry.

Mas não é tão verdade e a ameaça ainda não acabou.

No entanto, essa freada simplesmente diminuiu um pouco a taxa de infecção. Além disso, vários pesquisadores de segurança alegaram que mais variantes do WannaCry estão na ativa sem a função de conexão ao domínio “KillSwitch”, referido como WannaCry 2.0, e ainda infectando computadores em todo mundo que não foram atualizados.

Para aqueles que não sabem, o WannaCry é um malware do tipo ransomware de propagação rápida que utiliza o protocolo SMB em sistemas operacionais Windows não atualizados para se alastrar.

Até o momento, os criminosos por trás do WannaCry receberam cerca de 100 pagamentos das vítimas, totalizando 15 bitcoins, ou $ 26.090 (dólares)

O exploit do SMB atualmente utilizado pelo WannaCry possui recursos do Eternal Blue, uma coleção de ferramentas de hacking criada pela NSA e posteriormente divulgada por um grupo de hackers chamado “The Shadow Brokers” há mais de um mês.

[blockquote align=”right” author=”Edward Snowden”]Se a NSA tivesse revelado privadamente a falha (que foi usada para atacar hospitais) quando a encontraram, não quando a perderam, isso não teria acontecido. [/blockquote]

Ainda não acabou

Fonte da imagem: http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

O site The Hacker News em outros posts (1 e 2), reuniu informações sobre essa enorme campanha do ransomware, explicando como o especialista MalwareTech freou acidentalmente a disseminação global do WannaCry ao registrar um nome de domínio escondido no código do malware.

O domínio acima é responsável por manter o WannaCry se propagando e se espalhando como um worm, conforme foi explicado anteriormente, se a conexão com o domínio falhar, o worm continua a infectar os sistemas.

Felizmente, MalwareTech registrou esse domínio e criou um coletor de dados que os pesquisadores usam para redirecionar o tráfego das máquinas infectadas para um sistema controlado (Veja maiores informações neste post).

Mas se acha que ativar o modo KillSwitch terá interrompido completamente a infecção, você está completamente enganado.

Como o modo KillSwitch estava no worm SMB e não no próprio módulo do ransomware, “o WannaCry foi propagado normalmente muito antes disso e vai demorar muito para acabar a sua disseminação. O que fizemos foi frear a variante do worm”, disse MalwareTech ao site The Hacker News.

Saiba que o modo KillSwitch não impede que PCs ainda não infectados corram riscos, nos seguintes cenários:

  • Se você receber o WannaCry via e-mail, arquivo torrent malicioso, ou outros vetores (em vez do protocolo SMB);
  • Se por acaso o seu provedor, antivírus ou firewall bloquear o acesso ao domínio citado anteriormente;
  • Se o sistema alvo precisar de um proxy para acessar a Internet, o que é uma prática muita comum das redes corporativas;
  • Se o dominio utilizado pelo ransomware ficar inacessível para todos, como por exemplo, utilizando um ataque DDoS em larga escala.
  • Se o sistema alvo requer um proxy para acessar a Internet, o que é uma prática comum na maioria das redes corporativas.

WannaCry 2.0, o ransomware sem o modo KillSwitch está em atividade!

Fonte da imagem: http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

O site The Hacker News foi informado por Costin Raiu, diretor global de pesquisa e análise da Kaspersky Labs, que sua equipe tinha visto amostras do WannaCry que não possuíam a função de KillSwitch, na sexta-feira.

Posso afirmar que já tínhamos versões sem esta função deste ontem (sexta-feira, 12/05)”, disse o diretor.

Podemos esperar uma nova onda de ataques deste ransomware, com uma versão atualizada do WannaCry que será difícil de frear, até que pelo menos todos os sistemas vulneráveis sejam corrigidos.

“Ataques futuros são inevitáveis, você pode simplesmente corrigir as amostras existentes utilizando um editor hexadecimal e ele continuará a se espalhar”, diz Matthew Hickey, um especialista em segurança e co-fundador da Hacker House.

Veremos uma série de variantes deste ataque nas próximas semanas e meses, por isso é importante aplicar a devida correção nos computadores. O worm pode ser modificado para espalhar outros payloads, e podemos ver outros ataques de malware utilizando o código do WannaCry com sucesso.

Mesmo após os ataques movimentarem as manchetes em toda a Internet e outras mídias, ainda existem centenas de milhares de sistemas não corrigidos por aí que estão expostos na Internet e vulneráveis ao hacking.

“O worm tenta infectar máquinas Windows vulneráveis na rede local. Ao mesmo tempo, executa uma varredura extensa nos endereços IP da Internet para localizar e infectar outros computadores vulneráveis, o que resulta em um grande tráfego SMB do host infectado”, diz a Microsoft.

Demonstração da infecção do ransomware WannaCry

Hickey forneceu duas demonstrações em vídeo, mostrando vestígios dos pacotes que confirmam o uso da vulnerabilidade do protocolo SMB no Windows (MS17-010).

Ransomware WannaCry fazendo uso da vulnerabilidade do protocolo SMB do Windows (Técnico)

Ransomware WannaCry fazendo uso da vulnerabilidade do protocolo SMB do Windows (Não-Técnico)

Como o WannaCry é um único arquivo executável, ele também pode ser transmitido através de outros vetores de ataques comuns, como o phishing e através de download de arquivos torrent maliciosos, advertiu Hickey.

Prepare-se: Atualize, Corrija o SO e Desative o SMBv1

MalwareTech também alertou sobre a ameaça futura dizendo: “É muito importante para todos entenderem que tudo o que os atacantes precisam fazer é mudar algum código e começar tudo de novo”.

Como noticiado recentemente, a Microsoft tomou uma medida incomum para proteger seus clientes que utilizam uma versão do Windows sem suporte – incluindo o Windows XP, Vista, Windows 8, Server 2003 e 2008 – ao liberar patchs de segurança que corrijam falhas no SMB atualmente sendo exploradas pelo ransomware WannaCry.

Mesmo após isso, podemos crer que muitas pessoas continuam desconhecendo essas novas correções e muitas organizações, bem como máquinas de caixas eletrônicos e outdoors, funcionando em versões mais antigas ou sem correções do Windows, estão considerando atualizar seu sistema operacional. Isso leva tempo e custará um bom dinheiro para obterem as novas licenças.

Como dissemos várias vezes, os usuários e empresas são fortemente aconselhados a instalarem os patchs do Windows o mais breve possível e também a desabilitarem o SMBv1 (siga essas etapas) para evitar futuros ataques cibernéticos semelhantes.

Por favor: Aplique essas correções. A Microsoft tem sido muito generosa com você. Quase todos os fornecedores de antivirus já adicionaram assinaturas para proteger contra esta ameaça mais recente. Verifique se você está utilizando um bom antivírus e mantenha-o sempre atualizado.

Além disso, você precisa seguir algumas dicas práticas de segurança que o site The Hacker News preparou pra você ficar mais protegido contra tais ameaças de malware.

O WannaCry atingiu mais de 200 mil sistemas em 150 países, alertou a Europol

Fonte da imagem: http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

O chefe da Europol, Rob Wainwright, disse que o mundo inteiro está enfrentando uma “ameaça crescente”, alertando as pessoas de que os números estão crescendo e elas devem garantir a segurança de seus sistemas.

“Estamos executando cerca de 200 operações globais contra o crime cibernético a cada ano, mas nunca vimos algo assim”, disse Wainwright, quando questionado pela BBC.

“A última contagem é de mais de 200 mil vítimas em pelo menos 150 países, e muitas delas são empresas, incluindo grandes corporações, cujo alcance global é sem precedentes”.

Mapa ao vivo das infecções do WannaCry

https://intel.malwaretech.com/botnet/wcrypt/

Fonte:

http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

Compartilhe: