O WannaCry – o ciberataque mais prejudicial de 2017 – continua firme e forte fazendo vítimas pelo mundo. São pelo menos 3.500 ataques bem sucedidos por hora, globalmente. É o que mostra uma pesquisa publicada pela firma de segurança Armis. A pesquisa estima que 145.000 dispositivos em todo o mundo continuam a ser infectados. Ela destaca que “um único dispositivo infectado WannaCry pode ser usado por hackers para violar toda a sua rede”. Assim, o WannaCry faz 3.500 ataques bem sucedidos por hora.
A principal razão pela qual o WannaCry persiste é a abundância de versões do Windows sem correção nos setores de saúde, manufatura e varejo. Então, geralmente o vírus encontra um “grande número de dispositivos mais antigos ou não gerenciados que são difíceis de corrigir devido às complexidades operacionais”. É o que afirma Ben Seri, vice-presidente de pesquisa da. Armis. Ele escreveu em um post no blog da empresa alertando para o problema.
Fornecedores são a origem?
O número de instalações ativas do Windows 7 (e mais antigas) nesses setores excede 60%, comparado a menos de 30% entre as empresas de tecnologia, segundo a pesquisa. Isso é em grande parte um problema de fornecedor, já que esses setores dependem de hardware de terceiros com suporte de vida útil ruim. Então, de acordo com a Seri, há razões operacionais para manter dispositivos Windows antigos e sem suporte.
As instalações de fabricação contam com os dispositivos IHM (interface homem-máquina) que controlam as linhas de produção da fábrica. Os dispositivos IHM são executados em hardware personalizado ou usam software desatualizado, que não foi otimizado para o Windows mais recente.
Em organizações de saúde, muitos dos dispositivos médicos são baseados em versões desatualizadas do Windows. Portanto, não podem ser atualizados sem uma remodelação completa. E em ambientes de varejo, os dispositivos de ponto de venda são o elo fraco, baseado em hardware personalizado, que está atrasado para receber atualizações, se é que o faz.
Esta é uma questão particularmente importante, com o fim de suporte previsto para o Windows 7 em janeiro de 2020. Isso servirá para complicar ainda mais a postura de segurança de muitas empresas, especialmente quando outras vulnerabilidades “wormable” forem descobertas, como o BlueKeep, que levou a Microsoft a fornecer patches para o Windows XP e Server 2003 devido ao risco potencial.
A dificuldade de corrigir o WannaCry
A saga WannaCry é peculiar. O ataque tinha o potencial de ser muito mais prejudicial do que poderia é. Isso apesar dos danos poderem ser muito piores para as organizações afetadas. Só com o WannaCry, as perdas são estimadas em US$ 116 milhões até agora.
Enquanto o surto inicial de WannaCry começou em 12 de maio de 2017, o pesquisador de segurança Marcus Hutchins, também conhecido como MalwareTech, descobriu um nome de domínio kill switch no programa que não foi registrado pelos autores. Assim, quando o WannaCry é executado, se o domínio for resolvido, o programa é encerrado. O WannaCry foi relatado como “parado”, o que pode ter diminuído a preocupação com o ataque. Dias depois, foi descoberta uma variante sem um interruptor.
Quem é responsável pelo desenvolvimento do WannaCry?
Uma análise feita pela divisão de cibersegurança do GCHQ identificou os autores do WannaCry como o Lazarus Group. Este é um agente patrocinado pelo Estado da Coréia do Norte. Eles são responsáveis também pelo hack da Sony Pictures em 2014. Os EUA, a Austrália, a Nova Zelândia, o Canadá e o Japão criticaram a Coréia do Norte por seu envolvimento no ataque.
Dito isso, o WannaCry foi desenvolvido com base em dois exploits chamados EternalBlue e DoublePulsar. Então, ambos foram lançados por uma organização chamada The Shadow Brokers em 14 de abril de 2017. Os exploits foram desenvolvidos originalmente pelo NSA Office of Tailored Access Operations e CIA Information, especificamente no Centro de Operações.
Na esteira do ataque WannaCry, o presidente e diretor jurídico da Microsoft, Brad Smith, condenou o ‘estoque de vulnerabilidades por parte dos governos’, observando que vimos vulnerabilidades armazenadas pela CIA no WikiLeaks e agora essa vulnerabilidade foi roubada da NSA. Assim, atingiu clientes em todo o mundo. Repetidamente, as explorações nas mãos de governos vazaram para o domínio público. Então, causaram danos generalizados. Para ele, os governos devem reconhecer os danos aos civis. Tudo resultante da acumulação dessas vulnerabilidades e do uso dessas explorações.
Enfrentando os riscos do WannaCry na sua organização
Naturalmente, o primeiro passo para lidar com riscos potenciais do WannaCry é consertar seus dispositivos, de acordo com Armis. O patch de dispositivos, no entanto, exige que os profissionais de TI saibam que os dispositivos existem. Este é o maior problema.
Sem o controle adequado e o monitoramento de dispositivos e redes, as organizações devem perder o controle de ambos. Você deve manter um inventário de ativos contínuo de todos os dispositivos e monitorar sua rede para desconhecidos, suspeitos ou dispositivos perdidos conectados a ele, observou Seri.
