Embora o ano de 2017 possa parecer uma era distante no âmbito da segurança cibernética, as valiosas lições do WannaCry continuam relevantes em 2023.
O WannaCry se destaca como um notório exemplo de crypto ransomware, uma forma de malware frequentemente empregada por cibercriminosos para extrair dinheiro de suas vítimas.
O modus operandi desse tipo de malware envolve a criptografia de arquivos cruciais, tornando-os inacessíveis, ou a restrição do acesso ao próprio computador, impedindo seu uso regular.
Como ocorreu o ataque do WannaCry
Este ataque ransomware disseminou-se através de computadores que executam o sistema operacional Microsoft Windows. Os arquivos dos usuários foram mantidos como reféns e, para a sua restituição, foi requerido um pagamento em Bitcoin.
No cerne do WannaCry residia uma exploração denominada EternalBlue, cujo desenvolvimento foi atribuído à Agência de Segurança Nacional dos Estados Unidos (NSA). Esse exploit foi apropriadamente adquirido pelo grupo de hackers autodenominado Shadow Brokers, que o divulgou após obtê-lo do Equation Group, entidade vinculada às operações de acesso sob medida (TAO) da NSA.
O ataque conduzido pelo WannaCry foi eventualmente vinculado a um agente de ameaça associado ao Estado norte-coreano, identificado como Lazarus Group.
O WannaCry propagou-se de maneira altamente destrutiva, apresentando uma velocidade de disseminação característica dos “worms” auto-replicantes. Esse rápido alastramento foi possível devido à considerável quantidade de sistemas não corrigidos em circulação. Nas primeiros 24 horas, mais de 200.000 vítimas tiveram seus sistemas comprometidos.
Este período crítico adquiriu importância quando um pesquisador de segurança do Reino Unido, Marcus Hutchins, descobriu um “interruptor de desativação” camuflado sob a forma de uma URL sem sentido incorporado ao código da exploração. O WannaCry ativa o processo de criptografia somente se não conseguisse estabelecer conexão com esse URL.
Essa funcionalidade tinha a finalidade de conceder aos invasores um mecanismo de “interruptor de desativação”, ou mais provavelmente, de evitar a execução em ambientes de análise de malware, como sandboxes. Independentemente da intenção, Hutchins adquiriu o domínio insignificante por cerca de R$ 40, criando um site para que o worm se conectasse e, assim, interrompendo os ataques em curso.
Cenário no Brasil
O Brasil não ficou imune ao impacto do WannaCry. Embora não tenhamos sido o epicentro do ataque, várias organizações brasileiras foram atingidas. Hospitais, empresas e instituições financeiras sentiram as consequências desse ataque, que colocou em risco não apenas a integridade dos dados, mas também a continuidade das operações.
Uma das razões pelas quais o Brasil se tornou um alvo foi a falta de conscientização sobre cibersegurança. Muitas organizações não estavam preparadas para lidar com ameaças cibernéticas desse tipo. Além disso, a presença de sistemas desatualizados e a falta de medidas preventivas também contribuíram para a disseminação do malware.
O que as empresas podem extrair das lições do WannaCry, 6 anos depois?
Dado o período transcorrido desde que o WannaCry fez sua sinistra aparição, é possível compreender se alguém considerar o assunto ultrapassado. No entanto, tal visão estaria equivocada – muito equivocada!
Vamos desconsiderar o fato de que variações do WannaCry ainda estão em circulação, à procura de sistemas não corrigidos para infestar. Em vez disso, o foco deve recair sobre a utilização de abordagens similares por parte de agentes de ransomware e outras entidades mal-intencionadas em meio ao panorama das ameaças.
Apesar da evolução contínua das ameaças aos dados, nem sempre as organizações conseguem estar à altura do desafio no que tange à instauração de uma postura defensiva resiliente.
Três lições de segurança extraídas do WannaCry em 2023
1 – A administração de correções não admite alternativas
O WannaCry não teria se consagrado como um marco na história da segurança cibernética caso as organizações já tivessem implementado o patch da Microsoft que corrigia a vulnerabilidade explorada.
Merece recordação que o WannaCry emergiu praticamente dois meses após a disponibilização desse patch. Embora a implementação de correções em empresas de grande porte seja inegavelmente mais intrincada que em negócios menores, dois meses deveriam conferir tempo suficiente para ensaiar e executar a medida.
A implementação da gestão de correções precisa cobrir as atualizações tanto em nível de aplicativos quanto de sistema operacional, priorizando as vulnerabilidades que poderiam ocasionar o impacto mais crítico à atividade empresarial.
Seja por meio de um provedor de serviços gerenciados ou por meio de software especializado em administração de correções, o WannaCry, sem dúvida, elucidou os riscos associados a não encarar as correções de maneira séria.
2 – Tenha ciência do que você possui, onde está e como protegê-lo
Outro princípio incontestável que emerge do WannaCry é que, caso muitas das organizações atingidas tivessem investido mais tempo e, é verdade, recursos financeiros, em uma auditoria de suas redes e controles de segurança, o impacto do ataque poderia ter sido mitigado. No mínimo.
Estar ciente de quais dados estão sob seu controle e qual seu nível crítico para sua operação, assim como onde esses dados são armazenados e como eles são protegidos, constitui o básico da segurança. É um conceito que não oferece margem para desculpas.
Concentre-se em minimizar as oportunidades de vetor de ataque. Examine quem (incluindo máquinas e indivíduos) possui acesso a quais dados, por quais motivos e em que ocasiões.
A aplicação do princípio do menor privilégio ao acesso aos dados demanda tal entendimento e, com sua implementação, é possível restringir o espaço de movimentação lateral dos invasores nas redes.
Não deixe as portas dos dados abertas; tranque-as e compartilhe as chaves apenas com aqueles que verdadeiramente necessitam delas.
3 – Possua um plano de reação a incidentes e saiba como empregá-lo
É indubitável que uma parcela do caos instaurado pelo WannaCry poderia ter sido mitigada caso as organizações detivessem um plano de resposta a incidentes e soubessem como ativá-lo.
Ser capaz de restaurar a normalidade aos negócios o mais rapidamente possível enquanto se lida com um ataque em andamento nunca será uma tarefa fácil. No entanto, tal missão se torna muito mais factível na presença de um plano de ação claro, algo que delineie quem fará o quê e quando durante um ataque.
A efetividade de um plano de resposta a incidentes reside nas bases estabelecidas e requer compreensão e prática.
Muitas vezes, a execução do plano a incidentes pode não se adequar à estrutura interna da organização, principalmente em empresas menores com recursos de segurança limitados. Entretanto, existem excelente opções para terceirizar essa função.
O WannaCry instruiu organizações de todas as proporções que negligenciar a correção pontual de vulnerabilidades críticas acarreta implicações extremamente onerosas. A administração de correções é um aliado valioso, seja adotada internamente através de software especializado ou terceirizada a um provedor de serviços.
Deixe um comentário