Estivemos na primeira edição carioca do já consagrado evento Mind The Sec, que reune diversos especialistas da área da segurança da informação, para debater os novos dilemas desse mercado. E obviamente o foco dessa edição foi o ransomware WannaCry, que causou um enorme estrago mundo afora na sexta-feira passada, mais de de 100 países foram infectados. Dados da Avast mostram que o Brasil ficou na 5ª colocação dentre os países com maior número de detecções reportadas.
Para discutir o assunto, o Mind The Sec reuniu três especialistas, Fernando Mercês, pesquisador sênior de ameaças na Trend Micro, Cassius Puodzius, pesquisador de segurança da informação da ESET e Thiago Marques, que faz parte da análise global da Kaspersky Lab.
Mercês comentou que até o momento o que se sabe é que o único vetor de ataque é mesmo através de uma falha de segurança do protocolo de compartilhamento do Windows, o SMB, e que já foi corrigido pela Microsoft. Cassiu diz que após o pesquisador Marcus Hutchins, responsável por descobrir o kill switch, e registrar o domínio que travou os ataques, outras variantes do WannaCry com domínios diferentes começaram a surgir. Na visão do Thiago o WannaCry segue todas as boas “práticas” para um ransowmare efetivo. Então, independentemente de quem esteja por trás da ameaça é possível afirmar que não é um amador, sabe muito bem o que está fazendo.
Até o momento os responsáveis pelo WannaCry conseguiram arrecadar em média US$ 70 mil. Embora haja indícios de quem pagou conseguiu ter seus arquivos desenvolvidos, Thiago Marquês aconselha que as vítimas nao façam o pagamento, já que isso incentiva que os cibercriminosos continuem propagando os ataques, já que o ganho financeiro é cada vez maior. Isso sem contar que realizar o pagamento não garante a descriptografia dos dados.
Cassius, da ESET também não aconselha o pagamento do resgate, mas também reconhece a complicação, o dilema que pagar ou não pagar. O ideal é ser mais proativo, como, por exemplo, manter um backup atualizado, para evitar essa questão de ter que pagar e acabar financiando o cibercrime.
Apesar de os responsáveis terem se aproveitado de uma falha da NSA, os especialistas consideram que a ameaça foi bem desenvolvida e testada, e a característica worm, a auto replicação pela rede foi decisiva para a propagação e o estrago que causou. Fernando Mercês da Trend Micro diz que algumas coisas sobre o ataque são meio estranhas, como a presença de um kill switch, o que abre precedentemente para especulações de que o WannaCry seria uma espécie de cortina de fumaça, para direcionar o mercado de segurança para um lado que eles queiram, enquanto que na verdade o foco dos cibercriminosos seria para outra coisa, um desvio de atenção.
Por outro lado, Thiago diz que se a ideia foi uma cortina de fumaça, os responsáveis acabaram passando do ponto, já proporção do ataque levantou um alerta no mundo inteiro, e dificilmente eles conseguirão sucesso com a mesma forma de operação, utilizando um exploit que muitos ainda não tinham se atentado.
Fernando diz que estamos num momento em que uma grande onda de ataque envolvendo falhas zero-day pode estar pela frente, que trabalharam juntamente com worms, que carregam essa característica de larga propagação. “Independente se a estratégia era combinar ransomware com worm ou apenas levantar uma cortina de fumaça, pode ser que desencadeie novos malwares utilizando as mesmas falhas ou novos exploits zero-day”.
Ainda não dá para cravar que a Coreia do Norte esteja realmente seja uma das responsáveis pelo ataque, mas o Thiago Marquês ressalta que a Kaspersky encontrou muita similaridade entre o WannaCry com o que já foi feito pelo Lazarus Group, grupo responsável pelos ataques à Sony em 2014, e que seria financiado pelos norte-coreaanos. Os códigos do WannaCry foram encontrados apenas em samples de malware do Larazus. “Realmente há uma grande similaridade nessa parte do código do Lazarus, e esse código foi utilizado pelo WannaCry”, completa Thiago.
Fernando diz que não há uma bala de prata na segurança, e que para o setor corporativo, o que o que está mais se destacando hoje em dia é a proteção em camadas e reforçar a cultura de segurança, a conscientização em relação as boas práticas.