São Paulo, 27 de abril de 2018 - Em 12 de maio de 2017, o maior ataque de ransomware da história começou. Conhecido como "WannaCry", o agora infame ransomware se espalhou como um incêndio e afetou indiscriminadamente PCs em todo o mundo, incluindo aqueles que pertenciam a consumidores, empresas, hospitais e até departamentos governamentais. Um ano depois, o malware WannaCry, que explora a vulnerabilidade EternalBlue, ainda prevalece. Tudo indica que a mais recente vítima deste tipo de ataque é a fabricante de aeronaves Boeing.
Desde o ataque inicial no ano passado, a Avast detectou e bloqueou mais de 176 milhões de ataques WannaCry em 217 países. Em março de 2018, a Avast bloqueou 54 milhões de ataques que tentaram abusar do EternalBlue. Dada a publicidade em torno dos ataques, pode-se supor que as pessoas e empresas teriam concluído as atualizações do sistema desde o surto. No entanto, dados da Avast mostram que quase um terço (29%) dos PCs com Windows em todo o mundo ainda estão funcionando com a vulnerabilidade em vigor.
A intenção por trás do ataque inicial do WannaCry parece ter sido causar danos, pois teria sido realizada por uma nação e não por criminosos em busca de ganhos financeiros – que tradicionalmente têm sido a principal motivação dos ataques de ransomware. No final de 2017, o governo dos EUA atribuiu o ataque à Coreia do Norte. Com um código falho, incluindo o componente de pagamento, estima-se que os agentes por trás do WannaCry tenham embolsado cerca de US$ 140.000 no final de agosto. Este montante, somado a dois ou tantos outros Bitcoins que eles ganharam após o saque, o qual pode ser visto em três endereços de Bitcoin* altamente codificados nos executáveis do WannaCry, ainda é baixo, considerando a enorme quantidade de PCs infectados.
O sucesso do WannaCry se resume a três principais fatores: o ransomware explorou uma vulnerabilidade que prevalecia em muitos PCs, os quais executavam sistemas operacionais mais antigos; esses sistemas operacionais mais antigos estavam amplamente sem suporte e, portanto, vulneráveis à exploração; nenhuma ação do usuário foi necessária para que o ataque fosse disseminado, pois o ransomware se espalhou como uma praga. No entanto, desde o momento em que o dano foi causado, a Avast tem investigado o WannaCry e os ataques subsequentes com o objetivo de coletar insights que podem ajudar a entender o que precisa ser feito, para evitar que esse tipo de ciberataque aconteça novamente.
Uso de patches fracos tornou possível o WannaCry
O WannaCry se espalhou de maneira agressiva usando a vulnerabilidade EternalBlue do Windows ou MS17-010, infectando os computadores sem que fossem necessárias interações dos usuários. O EternalBlue é um bug crítico no código do Windows da Microsoft, tão antigo quanto o Windows XP. A vulnerabilidade permite que os cibercriminosos executem o código remotamente, criando uma requisição para o Windows File e o Printer Sharing. Quando ativo em um PC, o malware WannaCry é capaz de escanear o local e a sub-rede, e escolher aleatoriamente endereços IP. Ao encontrar um PC vulnerável, o ransomware também se espalha para esse PC devido às suas funcionalidades.
Os relatórios indicam que o ransomware provavelmente foi descoberto pela NSA, a qual o nomeou como "EternalBlue", o manteve em segredo e depois criou uma backdoor para explorá-lo. Um grupo de cibercriminosos chamado ShadowBrokers tornou pública essa exploração um mês antes do surto do WannaCry. A Microsoft lançou um patch para o EternalBlue em março do último ano, dois meses antes do golpe do WannaCry. No entanto, o WannaCry atacou com sucesso centenas de milhões de usuários, porque as pessoas não adotaram esse patch específico para a vulnerabilidade EternalBlue.
Outros ataques que usaram o EternalBlue
Além do WannaCry, outros tipos de ransomware como o NotPetya usaram a vulnerabilidade EternalBlue. Além do EternalBlue ser utilizado para distribuir ransomware, outras variantes de malware também fizeram uso desse mecanismo. Talvez os mais notáveis sejam o Adylkuzz, um malware de mineração de criptomoedas, e o Retefe, um trojan bancário. A vulnerabilidade tem sido usada por vários grupos de cibercriminosos vinculados à nações interessadas, por exemplo, na coleta de senhas. Adicionalmente, continua sendo uma ferramenta útil para que as pessoas maliciosas espalhem ou mirem o malware.
Se ao menos houvesse um patch para o patch fraco adotado…
As notícias do WannaCry foram publicadas por quase todos os principais meios de comunicação do mundo, o que significa que as informações sobre o ataque chegou a todas as partes. Apesar da atenção generalizada ao WannaCry e dos efeitos devastadores que causou às empresas e aos consumidores, as pessoas ainda não conseguiram reparar seus sistemas. Isso levanta uma questão: por que os usuários não estão fazendo esse reparo? É possível adivinhar quais são as razões mais prováveis.
Em primeiro lugar, pode ser devido à falta de compreensão com relação aos patches ou às atualizações de softwares: o que são, o que fazem e porque são importantes. Em média, o consumidor pode não estar totalmente ciente de que os sistemas contêm vulnerabilidades e que os cibercriminosos podem explorá-las para espalhar malware. Depois que as vulnerabilidades são encontradas, os desenvolvedores de software normalmente emitem um patch para corrigir o problema. O impacto do WannaCry poderia ter sido ainda menor se mais consumidores e profissionais de TI baixassem o patch MS17-010, assim que a Microsoft o tornou disponível.
A segunda razão para a adoção de patches fracos é que os consumidores não gostam de interrupções. A correção de um sistema ou programa exige que os usuários interrompam o que estão fazendo e aguardem o download do patch. As atualizações do Windows geralmente são realizadas na reinicialização do sistema, fazendo com que os usuários esperem por alguns minutos antes de utilizarem o computador, o que pode desencorajá-los a realizar as devidas atualizações em seus sistemas de forma voluntária. Outro motivo pelo qual as pessoas podem não atualizar o sistema é a resistência às mudanças. As atualizações do sistema operacional ou do programa podem alterar ambientes e interfaces já familiares, o que nem sempre é bem-vindo por todos os usuários.
Em terceiro lugar, empresas e organizações como o Serviço Nacional de Saúde (NHS) do Reino Unido podem inserir as atualizações do sistema em um cronograma que se encaixa às suas atividades, pois podem potencialmente interromper seus serviços. Para uma organização da área de saúde como o NHS, pode ainda ser necessário reduzir as atividades enquanto a atualização é realizada. Nesses casos, o equilíbrio é ponderado entre o risco de não aplicar os patches e a interrupção esperada quando a atualização do patch é feita.
Por último, alguns sistemas não foram corrigidos quando o WannaCry foi disseminado. Isto porque os sistemas mais antigos, como o Windows XP, não tinham o devido suporte e, portanto, eram indefesos.
Patch perfeito - o que a indústria de tecnologia deve fazer para melhorar
Para melhorar a adoção de patches, a indústria de tecnologia precisa trabalhar de forma unida para aumentar a conscientização a respeito dos patches, sua finalidade, os problemas que podem reparar e os possíveis ataques que podem evitar. É preciso agir coletivamente e encontrar uma maneira melhor para explicar a finalidade dos patches através de termos simples, que descrevem sua importância assim que criados e estiverem prontos para atualizações. Embora seja relevante não causar alarmes, as pessoas podem ser mais propensas às correções se perceberem que há um problema que poderia afetá-las ou impactar negativamente o seu sistema.
O desafio de comunicar as atualizações necessárias está atingindo uma base de usuários extremamente variável que, cada vez mais, tem suas próprias prioridades diferentes - e, neste contexto, a correção imediata nem sempre está entre elas. Assim como a indústria de tecnologia tem trabalhado ao longo dos anos para construir a conscientização sobre essas medidas de segurança digital na mente dos usuários, agora, é preciso trabalhar para educar e desenvolver a compreensão sobre a importância do patch como parte de um kit de ferramentas de segurança essencial nos dias de hoje. A combinação dessas duas frentes gera uma poderosa barreira para o cibercrime.
Embora desenvolvedores de software já estejam trabalhando na experiência do usuário, sempre há espaço para melhorias. Aumentar a consciência sobre os patches e a razão por trás deles não é o suficiente para os usuários. A inconveniência associada aos patches precisa diminuir. Isso pode ser feito através da atualização em segundo plano ou em doses menores, ou simplesmente tornando as pessoas mais conscientes das opções, como as atualizações noturnas.
Por fim, os desenvolvedores de software devem considerar que os seus sistemas podem ter uma vida útil além da prevista, graças a um hardware robusto e um suporte contínuo requerido. O Windows XP, por exemplo, ainda está sendo usado por 4,3% dos usuários da Avast e o Windows Vista por 1,5% dessa base, mesmo que a Microsoft não forneça mais o suporte para esses sistemas operacionais populares.
Quando se olha para o futuro, é possível ver que o patch de segurança não é apenas vital para PCs, mas também para os dispositivos IoT (Internet das Coisas). À medida que a conectividade aumenta e se torna um dos pilares da vida cotidiana, é importante notar que muitos dispositivos IoT geralmente são fracos quando o assunto é a segurança e, frequentemente, o seu software não é suportado além dos dois primeiros anos de vida. Os dispositivos IoT, por menores que sejam e tão simples quanto seus softwares, podem ser usados por cibercriminosos para realizar diversos tipos de ataques, não apenas contra os próprios dispositivos, mas para causar danos a outros sistemas.
Atualizações de segurança
Infelizmente, existe um lado crítico nas atualizações que é vista pelos cibercriminosos como um meio para a distribuição em massa de malware. Esse tipo de ataque é chamado de "ataque na cadeia de fornecimento", onde os cibercriminosos injetam um código malicioso em um componente que pode ser uma biblioteca ou um fragmento de código de um aplicativo comercial legítimo numa plataforma aberta. À medida que os usuários instalam ou atualizam os aplicativos afetados, eles também infectam seus sistemas com o payload malicioso. Os meios tradicionais para espalhar malwares estão se tornando caros e mais difíceis para os cibercriminosos, devido às recentes inovações no setor de segurança, fazendo com que eles se voltem aos ataques da cadeia de suprimentos.
A proteção contra os ataques da cadeia de suprimentos é uma tarefa complexa para as empresas e, mais ainda, para os desenvolvedores de software independentes. Para proteger os arquivos e atualizações dos produtos instalados, em primeiro lugar, os desenvolvedores de software precisam usar soluções adequadas de segurança da informação. É relevante considerar a segurança rígida e as regras de rede na construção da infraestrutura do patch, como uma rede isolada operando uma solução de segurança para usuários finais, limitando o acesso a ela e aos serviços que podem ser executados nos dispositivos conectados. O monitoramento de anomalias da rede é crucial e pode ajudar as empresas a identificar terceiros indesejados navegando em seus ambientes.
As companhias precisam levar a sério a educação em cibersegurança dos funcionários e o gerenciamento de patches. Os seres humanos cometem erros e os cibercriminosos gostam de explorá-los, tornando vital garantir que os funcionários estejam cientes das melhores práticas de segurança e que as organizações limitem adequadamente os direitos de acesso. Testes de penetração devem ser conduzidos algumas vezes por ano e são uma ótima maneira para que as organizações vejam onde estão seus pontos fracos e o que os cibercriminosos poderiam explorar no universo online e offline.
Os consumidores se beneficiam ao receber informações educacionais sobre a segurança em dispositivos pessoais e o papel dos patches. Embora os usuários não tenham ferramentas comerciais, nas quais possam confiar quando identificarem seus pontos fracos, há outros serviços disponíveis que podem ajudá-los a garantir a segurança dos seus dispositivos.
Por fim, fica claro que o setor de tecnologia não pode esperar que os usuários compreendam completamente e realizem as práticas recomendadas de segurança por conta própria. Os usuários precisam de apoio e educação com relação à segurança, além de orientações através de passos necessários para tornar suas experiências mais simples, fáceis e confortáveis. Ao mesmo tempo, os distribuidores de software precisam assegurar que as atualizações que enviam aos seus clientes estejam limpas. Se isso puder ser feito, então a contribuição dos usuários e do setor de tecnologia no geral com pesquisadores e empresas de segurança pode ser realmente uma poderosa arma na luta contra o malware. Embora ainda não se saiba qual impacto o próximo WannaCry possa causar, com base nesses insights críticos do último ano fica claro que o setor de tecnologia em colaboração com os usuários, precisa fazer mais para impedir que um ataque massivo volte a acontecer.
*https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94