O WannaCrypt (também conhecido como WannaCry) começou a se propagar em 12 de maio de 2017 07:44 UTC, instalando o ransomware nos computadores afetados pelo CVE-2017-0145, uma vulnerabilidade presente na versão 1 da implementação do Microsoft Server Message Block (SMBv1). Nas primeiras 48 horas da campanha, o WannaCrypt afetou quase 100.000 máquinas, a maioria (85%) eram sistemas de consumo em Taiwan, Rússia e Estados Unidos. Essa ameaça afetou principalmente máquinas que executam versões mais antigas do Windows, como o Windows 7 e o Windows Server 2008.

Máquinas infectadas com WannaCrypt podem se tornar inúteis. A Microsoft recomenda restaurar essas máquinas a partir de backups, em vez de comprar chaves de criptografia de atacantes.

Para permanecer protegido, os clientes devem aplicar as atualizações de segurança descritas no Boletim de Segurança da Microsoft MS17-010. Os clientes com Windows XP, Windows Server 2003 e Windows 8 podem aplicar uma atualização fora de banda descrita em KB4012598. A ativação do Windows Defender Antivirus com proteção fornecida na nuvem e atualizações automáticas deve impedir a infecção.

NOTA: As informações de status e recomendação de mitigação fornecidas com esta entrada cobrem vulnerabilidades encontradas apenas no Windows.

O WannaCrypt já estava ativo antes da campanha de maio de 2017. Nos primeiros ataques, o grupo de atividades do ZINC obteve acesso às máquinas vítimas através de métodos desconhecidos, instalou um backdoor e usou o backdoor para descartar o WannaCrypt. No entanto, às 07:44 UTC de 12 de maio de 2017, uma nova versão do WannaCrypt começou a se propagar por redes locais e pela Internet, explorando uma vulnerabilidade (CVE-2017-0145) na versão 1 do Server Message Block da Microsoft implementação (SMBv1).

Após uma exploração bem-sucedida, o componente de worm WannaCrypt instala uma cópia de si mesmo no host remoto sob o caminho C: \ WINDOWS \ mssecsvc.exe. Embora essa nova instância continue a localizar e explorar vítimas, instala uma cópia do componente ransomware WannaCrypt, no caminho C: \ WINDOWS \ tasksche.exe. Para manter a persistência, o componente worm define chaves de registro de execução automática para os componentes worm e ransomware e registra ambos como serviços.

O componente de ransomware do WannaCrypt pesquisa unidades de disco com letras, como compartilhamentos de rede e dispositivos de armazenamento removíveis, e usa um utilitário nativo do Windows conhecido como ICACLS para obter acesso a todos os arquivos em todas as unidades descobertas. Em seguida, ele pesquisa todos os arquivos cujos nomes contêm uma lista de extensões codificadas (como .ppt, .docx e .jpg) e as criptografa. Depois disso, o malware exclui cópias e backups de sombra de volume usando as ferramentas nativas do Windows Vssadmin, WMIC, BCDEdit e WBAdmin usando o seguinte comando:

Cmd /c vssadmin delete shadows /all /quiet
& wmic shadowcopy delete & bcdedit /set
{default} bootstatuspolicy ignoreallfailures
& bcdedit /set {default} recoveryenabled no
& wbadmin delete catalog -quiet

O ransomware WannaCrypt também instala um conjunto de arquivos de "suporte", incluindo cópias da nota de resgate em vários idiomas, uma imagem de bitmap que substitui o plano de fundo da área de trabalho para fornecer instruções ao usuário e o aplicativo de roteamento Tor para permitir a comunicação anônima entre a vítima e atacante. Finalmente, ele exibe uma nota de resgate.

Neste ponto, é bastante difícil para os usuários recuperar seus arquivos sem pagar o resgate.

Durante os estágios iniciais da infecção, algumas variantes do WannaCrypt tentaram se conectar a sites remotos:

• iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com
• iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Esses domínios não eram de comando e controle, mas agiam como interruptores de interrupção". Se o WannaCrypt atingir um domínio que foi registrado, ele interrompe automaticamente mais infecções. Esse comportamento foi descoberto quando um pesquisador de segurança registrou os domínios rastrear a propagação do malware; domínios subseqüentes também foram perfurados.

A disseminação do surto foi contida ainda mais quando a Microsoft lançou patches fora de banda para o CVE-2017-0145 para Windows XP e Windows Server 2003, permitindo que os usuários desses sistemas operacionais desatualizados se protegessem do WannaCrypt. No entanto, as versões posteriores do WannaCrypt não apresentam a funcionalidade "kill switch", e muitos usuários ainda deixaram de aplicar patches para o CVE-2017-0145, resultando em milhares de encontros do WannaCrypt sendo relatados a cada mês.

Impacto
A campanha WannaCrypt não foi focada em nenhum grupo demográfico específico do cliente, mas direcionou computadores aleatoriamente no espaço de endereço IPv4. Qualquer computador de destino que estivesse usando a versão 1 da implementação do SMBv1 (Microsoft Server Message Block) e estivesse exposto à Internet poderia ter sido infectado. Essa demografia consistia principalmente de usuários de versões mais antigas do Windows, em particular o Windows 7 (82%) e o Windows Server 2008 (18%).

Os computadores infectados pelo WannaCrypt tornaram-se plataformas de lançamento para ataques subsequentes contra endereços IP externos e computadores vulneráveis ​​dentro da mesma organização. Quando o WannaCrypt criptografar arquivos, os computadores infectados eram inúteis, embora operacionais o suficiente para que as vítimas pudessem aprender e pagar o resgate. O impacto exato do WannaCrypt variou de organização para organização, mas, em casos extremos, resultou em grave degradação para processos críticos. Por exemplo, organizações médicas não podiam processar novos pacientes; outras empresas não puderam processar pedidos.

Distribuição dos encontros WannaCrypt

Mitigações
Aplique essas atenuações para reduzir o impacto dessa ameaça. Verifique o cartão de recomendações para o status de implementação das mitigações monitoradas.

• Use o isolamento baseado em hardware, fornecido pelo Windows Defender System Guard, e explore os recursos de proteção no Windows 10. Esses recursos fornecem mitigação estratégica das técnicas de exploração do EternalBlue.
• Para solucionar as vulnerabilidades exploradas pelo EternalBlue, instale as atualizações de segurança fornecidas com o Boletim de Segurança da Microsoft MS17-010, publicado em 14 de março de 2017. O Boletim de Segurança da Microsoft MS17-010 está disponível para versões não suportadas do Windows (incluindo Windows XP, Windows Server 2003 e Windows 8) em um patch fora de banda, KB4012598, lançado em 13 de maio de 2017.
• Utilize o Firewall do Windows Defender, os dispositivos de prevenção de intrusões e o firewall da rede para impedir a comunicação SMB sempre que possível.

 Mais de um ano depois que o ransomware WannaCrypt (também conhecido como "WannaCry") estourou e afetou milhares de computadores com a ajuda do exploit EternalBlue, ainda estamos vendo todos os tipos de atividades de ataque aproveitando este exploit. Além dos encontros reais do WannaCrypt, muitos sensores estão relatando ataques direcionados projetados para implantar backdoors, bem como ataques de commodities, a maioria dos quais agora distribuindo mineradores de moedas.

Várias máquinas que executam o Windows Server 2016 estão relatando atividades possivelmente ligadas a um ataque conhecido por começar explorando CVE-2017-10271, uma vulnerabilidade que afeta o Oracle Weblogic Server. O ataque então usa scripts do PowerShell para baixar o minerador de moedas, antes de distribuir os componentes lateralmente usando EternalBlue. Encontramos indicadores óbvios usando o EternalBlue que podem fazer parte deste ataque. Também estamos vendo várias conexões das mesmas máquinas afetadas para endereços IP na China, na Rússia e endereços IP da Microsoft nas portas SMB 445 e 139.

Resumindo:

• Os invasores continuam usando a exploração EternalBlue afetando várias vulnerabilidades SMBv1 (CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147 e CVE-2017-0148).
• Ataques de commodities usando o exploit EternalBlue estão derrubando mineiros de moedas.
• Outros ataques parecem ser direcionados e projetados para implantar backdoors.
• Alguns ataques chegam explorando o CVE-2017-10271, uma vulnerabilidade que afeta o Oracle Weblogic Server. EternalBlue é então usado para mover lateralmente.

NOTA: O status de atenuação e as informações de recomendação fornecidas com esta entrada cobrem vulnerabilidades encontradas apenas no Windows.

Mitigações

• Use o isolamento baseado em hardware e explore os recursos de proteção do Windows 10. Esses recursos fornecem mitigação estratégica das técnicas de exploração do EternalBlue.
• Para solucionar as vulnerabilidades exploradas pelo EternalBlue, instale as atualizações de segurança fornecidas com o Boletim de Segurança da Microsoft MS17-010, publicado em 14 de março de 2017. O Boletim de Segurança da Microsoft MS17-010 está disponível para versões não suportadas do Windows (incluindo Windows XP, Windows Server 2003 e Windows 8) em um patch fora de banda KB4012598, enviado em 13 de maio de 2017.
• Utilize o Microsoft Defender Firewall, dispositivos de prevenção de intrusão e seu firewall de rede para impedir a comunicação SMB sempre que possível.