WannaCry

O curioso caso do WannaCry

Nesta altura serão poucos aqueles ligados ao mundo da tecnologia que ainda não sabem o que é e o tumulto que provocou o WannaCry. Há muito, muito tempo que não se via um ataque informático que tivesse um impacto tão visível e que gerasse tamanha discussão sobre a importância da segurança nos dias que correm.

Apesar de o pior já ter passado, o WannaCry continua a ser estudado e investigado com detalhe. O mais provável é até que continuemos a ouvir falar do WannaCry nos próximos anos, não só como um acontecimento mediático, mas como um ataque de ransomware que continuará a fazer vítimas.




Hoje a Cisco organizou uma conferência com um dos seus principais especialistas em segurança informática. Martin Lee é líder técnico da equipa de investigação do grupo Talos da tecnológica norte-americana. Desde o primeiro dia que tem estado a acompanhar a evolução do WannaCry e que se tem dedicado à sua análise.

Enquanto partilhava a ‘anatomia’ deste ransomware, Martin Lee fez várias observações interessantes sobre o software malicioso e sobre a forma como atua. Apesar de toda a desgraça que causou – estima-se que mais de 200 mil computadores em 150 países foram afetados -, o WannaCry não deixa de mostrar alguns sinais curiosos e pouco comuns.

O WannaCry foi detetado pela Cisco às 7H27 do dia 12 de maio

Um destes aspetos curiosos mostrou-se logo na forma como o worm se espalhou. Primeiro o WannaCry verificava se o dispositivo tinha a backdoor DoublePulsar instalada – se tivesse infetava de imediato o sistema, se não tivesse era então aí que explorava a falha EternalBlue.

Esta foi a falha nos sistemas Windows, que a Microsoft já tinha corrigido em março, e que foi a grande porta de entrada para o WannaCry. Através desta porta o software malicioso instalava a backdoor DoublePulsar, que lhe abria as portas para a instalação do verdadeiro software malicioso.

“[O software] Instala uma backdoor antes de se instalar a ele próprio, o que é interessante”, refletiu Martin Lee. O especialista não faz ideia de quem possa estar por trás do ataque, mas tendo em conta o modus operandi, considera que é alguém que “percebe mesmo o código” do Windows. “Parece desnecessariamente complicado a forma como atua”, acrescentou.

Isto porque o WannaCry não é só um ficheiro malicioso, é na prática um conjunto de ficheiros maliciosos, sendo que cada um vai cumprindo a sua tarefa. Por exemplo, o software descarrega um executável responsável por apagar os ficheiros temporários do computador da vítima, um outro executável responsável por encriptar os dados do disco e até o próprio ecrã com informações de resgate é um executável.

WannaCry
Imagem do ecrã que surgia às vítimas do WannaCry. A colocação de temporizadores para o pagamento do resgate ajuda a criar uma sensação de emergência nas vítimas.

“Não me lembro de outro ransomware que o tenha feito [pedir resgate com executável]. (…) É interessante a natureza modular do malware e ter estas diferentes componentes não é comum”, analisou o especialista britânico. “É um código malicioso feito para persistir e pode depois pedir novos módulos”.

Foi então que Martin Lee fez uma das observações mais notórias sobre o WannaCry. Apelidou a arquitetura do WannaCry como “desajeitada”. Desajeitada? Afetar 200 mil computadores parece o resultado de um ataque desajeitado? Seguiu-se a explicação.

Na perspetiva de Martin Lee se o atacante “quisesse fazer dinheiro, não quereria infetar demasiadas pessoas”. “Em termos de fazer dinheiro, há muitos problemas nisto. Não foi a melhor forma de o fazer”.

O facto de o resgate ser pedido em bitcoins pode ter afastado algumas pessoas dessa intenção por não saberem ainda como funciona este formato de pagamento digital

Por exemplo, só foram disponibilizadas três carteiras de bitcoins para o pagamento dos resgates. Isto dificultaria aos atacantes saber quem pagou o quê. Por norma cada máquina infetada por ransomware gera um código único para uma determinada carteira – uma forma de identificar os pagamentos das vítimas.

“Existem várias decisões estranhas feitas pelos programadores do WannaCry. Não está construído como o ransomware que geralmente vemos em ação”, analisou Charles McFarland, um perito de segurança informática da McAfee, em entrevista à Quartz.

De acordo com a reportagem da Quartz, foram realizados menos de 300 pagamentos em todo o mundo, resultando num resgate combinado de 48,8 bitcoins, o equivalente a 89 mil euros. Não é um valor depreciativo para um único ataque informático, mas tendo em conta o número de máquinas afetadas, então a taxa de ‘conversão’ pode ser vista como muito baixa.

Se não era dinheiro que queriam, então qual o verdadeiro objetivo dos piratas informáticos? Martin Lee diz não ter uma resposta para esta questão. “Não sabemos as motivações, o que estavam a tentar alcançar”.

Foi aí que deu outro exemplo de um outro factor estranho no WannaCry. Quando o worm instalava o software malicioso no computador da vítima, o executável tasksche.exe fazia uma ligação a um endereço web específico para ver se estava atribuído – se não estivesse então o ransomware era ativado. Se esta ligação não fosse feita, apesar da infeção, o ransomware era ineficaz.

Por motivos óbvios não vamos publicar qual é esse endereço de internet, mas como Martin Lee comentou, “o próprio domínio parece ter sido escrito de forma aleatória” – por humanos e não gerado por computador.

Foi este endereço web que permitiu a um investigador que dá pelo nome de MalwareTech parar a vaga de ataques do WannaCry. Este investigador analisou o código do malware, encontrou o endereço e decidiu comprá-lo. A partir desse momento o WannaCry detetava que o endereço estava atribuído, pelo que o worm passava a ser ineficaz nesta variante [nos dias seguintes surgiram variantes do WannaCry que não faziam a verificação do endereço web].

O WannaCry já é considerado como um dos maiores ataques de ransomware de sempre

A inclusão deste sistema, chamado de kill switch, tem intrigado os investigadores da área de segurança. Por um lado parece um erro básico e que rapidamente seria descoberto para parar o ransomware – foi justamente o que aconteceu. Também há quem acredite que foi ali colocado de propósito para o caso de os autores perderem o controlo da sua própria criação.

Estas são teorias não confirmadas e há uma outra que acaba por ter por base tudo o que até aqui foi descrito: olhando para as peculiaridades deste ransomware, ele estava destinado ao falhanço. Poderá o WannaCry ser apenas a cama de testes para algo maior, algo mais grave que poderá estar para vir?

Martin Lee não comentou diretamente esta ideia, mas admitiu que o WannaCry possa ter sido um teste para esta ideia de um ransomware construído de forma modular.

No final fica a ideia de que mesmo que não venha a existir uma versão 2.0 do WannaCry, a forma distinta como este ransomware se apresentou criou mais uma ameaça constante para os utilizadores finais e para as empresas. Em caso de dúvida já sabe: software sempre atualizado, backup sempre atualizado e nunca pagar o resgate em caso de acidente.