WannaCry completa um ano e vulnerabilidade que o provocou segue ativa

Um ano atrás, o ransomware WannaCryptor.D (também conhecido como WannaCry ou WCrypt), provocava um dos maiores ataques cibernéticos conhecidos até o momento. Enquanto a ameaça em si não está causando grandes danos em todo o mundo, a exploração que foi usada durante o ataque, conhecida como EternalBlue, ameaça sistemas desprotegidos e sem patches. Os dados telemétricos da ESET, empresa líder na detecção proativa de ameaças, mostram que sua popularidade cresceu nos últimos meses e teve até picos de atividade, superando os registrados em 2017.

A vulnerabilidade EternalBlue está associada aos sistemas operacionais da Microsoft, na implementação do protocolo SMB (Server Message Block), por meio da porta 445. Em um ataque, os cibercriminosos examinam a internet em busca de portas SMB expostas e, caso sejam encontradas, lançam o código do exploit. Quando conseguem explorar essa vulnerabilidade, o alvo afetado executa um payload escolhido pelo cibercriminoso. Este foi o mecanismo usado para a efetiva propagação do ransomware WannaCryptor.D pelas redes.

De acordo com a telemetria da ESET, as tentativas de explorar o EternalBlue caíram após a campanha WannaCryptor em 2017. Nos meses seguintes, o surto de tentativas EternalBlue caiu para “apenas” centenas de detecções diárias. No entanto, desde setembro de 2017, o uso desse tipo de exploração voltou a aumentar de forma constante e atingiu novos picos em meados de abril de 2018.

“Uma possível explicação para este aumento é a campanha do ransomware Satã, que foi detectada perto dessas datas, embora a verdade seja que ela também poderia estar conectada a outras atividades maliciosas”, disse Camilo Gutierrez, chefe do Laboratório de Pesquisa de ESET América Latina. “É importante ressaltar que o método de infiltração usado pelo EternalBlue não é bem-sucedido em dispositivos protegidos por antivírus robustos, que bloqueiem essa ameaça no ponto de entrada”, completa Gutierrez.

O EternalBlue permitiu a realização de ataques cibernéticos em larga escala. Além do WannaCryptor, também impulsionou o destrutivo Diskcoder.C (também conhecido como Petya, NotPetya e ExPetya) de junho de 2017, além da campanha de ransomware BadRabbit durante os últimos meses de 2017. Ele também foi usado pelo grupo de espionagem eletrônica Sednit (conhecido como APT28, Fancy Bear e Sofacy) para atacar redes Wi-Fi em hotéis europeus. As explorações associadas ao EternalBlue também foram identificadas como um dos mecanismos de propagação de mineradores de criptomoedas maliciosos. E recentemente, foi usado na disseminação do ransomware Satã, dias depois que a telemetria da ESET detectou os picos do EternalBlue em meados de abril de 2018.

“A Microsoft emitiu atualizações que corrigiram a vulnerabilidade SMB em 14 de março de 2017, mas até hoje ainda há muitos computadores sem patches. Todos esses ataques destacam a importância de ter os patches no prazo, bem como a necessidade de ter uma solução de segurança confiável que tenha várias camadas de segurança e que seja capaz de bloquear a ferramenta maliciosa subjacente” concluiu Gutierrez.

Para mais infomações, acesse o We Live Security, portal de notícias da ESET: https://www.welivesecurity.com/br/2018/05/10/um-ano-depois-eternalblue-registra-maior-atividade-agora-do-que-durante-o-surto-do-wannacryptor/