Já passou um ano desde que o ransomware WannaCryptor, também conhecido como WannaCry e detectado pela ESET como Win32/Filecoder.WannaCryptor.D, foi propagado livremente em um ataque que ficou para a história. No entanto, o que tornou o impacto do WannaCryptor tão sério, principalmente considerando que essa ameaça não tinha nada de especial?
O surto global provocado pelo WannaCryptor foi uma grande oportunidade para aprender, assim como como o resto dos fatores que contribuíram com a magnitude e o alcance da ameaça. Não destacaremos os fatos que ocorreram, mas nos enfocaremos no que foi possível aprender com essa ameaça. Para isso, iniciaremos destacando como o ataque foi estabelecido e como esse ransomware foi propagado.
A importância das atualizações: uma das principais lições deixadas pelo WannaCryptor
Em relação à segurança de computadores, vivemos em um mundo onde os patches são fundamentais para garantir a segurança (ou pelo menos tentar), especialmente quando falamos de patches para falhas conhecidas. E, nesse sentido, o valor de um patch criado no momento certo torna-se mais evidente se considerarmos que o patch para a falha explorada pela campanha do WannaCryptor foi lançado pelo menos dois meses antes do malware ganhar as manchetes dos jornais.
Embora muitas empresas se esforcem para manter a segurança, a realidade das organizações indica que manter todos os equipamentos atualizados com os patches mais recentes não é uma tarefa simples. Da mesma forma, seja qual for a causa desse problema recorrente, as consequências são as mesmas: com cada patch disponível que não está instalado, a janela de oportunidades para intrusos fica cada vez mais aberta.
Sistemas operacionais obsoletos para os quais não há patches
Algumas vítimas sofreram o golpe, não porque haviam negligenciado a instalação do patch, mas porque usavam sistemas operacionais obsoletos para os quais não havia suporte e que fez com que fosse impossível obter uma solução, pois não havia patches disponíveis naquele momento. Nestes casos, a substituição de sistemas desatualizados deve ser a principal preocupação. Se isso não for possível a curto prazo, os dispositivos que usam sistemas obsoletos devem funcionar isoladamente em uma rede independente.
Segmentando o uso da rede como medida de segurança
De fato, segmentar o uso da rede como uma medida de segurança pode fortalecer as defesas de uma empresa, especialmente contra um malware que apresenta comportamentos de worm, como foi o caso do WannaCryptor. Ao ativar permissões para um determinado tipo de tráfego de entrada e saída de acordo com a funcionalidade de cada segmento, bem como garantir informações durante movimentos laterais, mesmo que ocorra um ataque em um dos segmentos, a exposição será limitada e o prejuízo será contido.
Desligue o que você não precisa
A campanha do WannaCryptor se propagou através da obsoleta primeira versão do protocolo de compartilhamento de arquivos da Microsoft conhecido como "Server Message Block" (SMBv1), pelo que podemos entender que a versão antiga do protocolo deve ser completamente desativada ─ tal como foi recomendado pela Microsoft em 2016. Por outro lado, o SMB, em qualquer uma de suas três versões, é usado em portas que não estão expostas à Internet aberta. Portanto, não custa nada se, no final do dia, apenas os serviços necessários estiverem habilitados e o restante estiver desativado.
Programas anti-malware existem por um motivo
A implementação de controles robustos de cibersegurança inclui a garantia de que todas as máquinas estejam equipadas com soluções de segurança que, naturalmente, devem ser mantidas atualizadas. Uma sólida suíte anti-malware incorpora várias camadas de defesa de maneira complementar, fornecendo proteção nas diferentes fases que um ciberataque pode ter - mesmo contra problemas para os quais ainda não foi lançado nenhum patch. Como informamos em um dos artigos publicados alguns dias após o surto, a ESET detectou e bloqueou as tentativas de abusar da vulnerabilidade do SMB antes que esse tipo específico de malware fosse criado.
Realize backups
Por último, mas não menos importante, o ataque nos fez lembrar sobre a importância de fazer backups. Na verdade, nesse cenário, o uso de backups entra em ação como última medida e depois que nosso sistema de defesa é atacado. E se o pior acontecer, uma recuperação bem-sucedida do incidente sofrido dependerá, em grande parte, da qualidade da estratégia de backup. Por isso, é importante testar nosso sistema de backup para evitar surpresas. Para isso, é necessário implementar uma rotina que inclua cópias periódicas das informações em um meio que não esteja conectado à rede.
Escolhendo o caminho mais simples
Independentemente do trabalho gerado pelas ações preventivas, o esforço é incomparável pelas dificuldades que enfrentamos quando temos que lidar com as consequências de um incidente grave.
E no caso de você se perguntar o que aconteceu com o exploit (Eternal Blue) que desencadeou a campanha em um primeiro momento, confira o post publicado por Ondrej Kubovič, da equipe de pesquisa da ESET, que mostrou como a ameaça está mais ativa do que nunca.