Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Por que o ransomware WannaCry se espalhou tão rapidamente?

Por que o ransomware WannaCry conseguiu se espalhar tão rapidamente e causar o estrago que vimos? A verdade é que ele não tinha nada de especial. Entenda.
Emilia Bertolli
2 minuto de leitura
Publicado 14 de Junho de 2017
Ultima atualização 1 de Dezembro de 2023

Desde a primeira vez que o ransomware apareceu, há 20 anos, tornou-se uma das ameaças mais destrutivas para as empresas, afetando organizações de todos os tamanhos e em todas as indústrias. Hoje não conseguimos passar nem mesmo alguns dias sem ler notícias de sobre algum ataque envolvendo alguma variante de ransomware.

A sexta-feira de 17 de maio de 2017 ficou marcada como o dia de um dos maiores ataques hackers via ransomware já vistos no mundo. O ransomware WannaCry afetou grandes empresas e organismos de 179 países por meio de uma vulnerabilidade presente em todas as versões do Windows desde o Vista. A Telefónica, empresa que controla a Vivo no Brasil e uma das maiores organizações de telecomunicações da Espanha, foi extremamente afetada, tendo mais de 85% de seus computadores infectados e recebendo uma exigência de resgate de mais de 500 mil euros.

No Brasil, os ataques com o ransomware WannaCry afetaram os sistemas do Itamaraty e do Tribunal de Justiça do Estado de São Paulo (TJ-SP), que ficaram fora do ar praticamente o dia todo. Na Inglaterra, uma série de hospitais tiveram seus sistemas bloqueados, afetando até o fluxo de ambulâncias.

Diante de tantas variantes de ransomware atuando no mundo todo, em especial nos últimos três anos, por que o ransomware WannaCry conseguiu se espalhar tão rapidamente e causar o estrago que vimos? Sem entrarmos em detalhes técnicos, as técnicas por trás do maior ataque de hacker via ransomware não têm nada de especial.

O que o WannaCry tem de diferente?

O WannaCry é um tipo de cryptoworm, uma forma maliciosa de malware capaz de se propagar sozinha. Isso significa que, uma vez que esteja posicionado dentro da rede, pode espalhar-se automaticamente sem a necessidade de que alguém o controle remotamente. Isso, certamente, influenciou seu poder de espalhar-se pelo mundo.

Porém, existem centenas de cryptoworms que não causaram o mesmo estrago do WannaCry. A diferença é que, ao contrário dos outros ransomwares, que definem como alvo os dados não estruturados hospedados nos sistemas de arquivos, o WannaCry não fazia esse tipo de distinção.

Além disso, em abril, diversas ferramentas hackers criadas pela NSA vazaram online, entre as quais uma ferramenta que explorava vulnerabilidades de hardware e software para que pudesse invadir e mover-se lateralmente nas redes. O WannaCry tirou proveito disso e foi além: uma vez dentro de uma máquina, ele usava sessões de Remote Desktop Protocol (RDP) para criptografar dados em máquinas remotas, buscava outras máquinas com Windows vulneráveis e servidores com vulnerabilidades da Microsoft, e então adotava a abordagem tradicional de buscar arquivos diretamente nos endpoints.

Cryptoworms como o WannaCry podem se replicar e buscar outros computadores vulneráveis em redes ao redor do mundo. A verdade é que a infecção mundial poderia ter sido pior se não fosse pelo pensamento rápido de um especialista em segurança que identificou que o código do malware foi conectado a um domínio que não estava registrado – para que seu autor pudesse parar o ataque, se quisesse, e para evitar técnicas sandboxing de softwares de IDS/IPS. Apostando em um palpite, o especialista registrou o nome do domínio, registrando, assim, milhares de conexões por segundo, parando o que poderia ter sido uma infecção muito maior.

O que aprendemos com isso

A Microsoft lançou um patch para a vulnerabilidade da qual o ransomware WannaCry tirou proveito, a SMBv1, em março deste ano. Infelizmente, a verdade é que a presença de bons processos de gestão de patches impediria que a maioria das empresas tivesse sido afetada de maneira tão severa.

É claro que uma boa gestão de patches não é suficiente para proteger-se do ransomware – nem mesmo bons processos de backup são suficientes, pois alguns ransomwares conseguem se esconder até nos backups e atacam novamente quando os arquivos são restaurados.

A verdade é que não existe uma maneira única de parar infecções de ransomware ou qualquer outra ameaça. A segurança da informação serve para reduzir riscos, e isso requer uma abordagem de proteção em camadas, em que cada uma deve contar com os controles de segurança adequados, com o uso de soluções para automatizar processos sempre que possível.

Qualquer organização que diga ser 100% segura contra ransomwares ou qualquer outro tipo de ataque está iludida ou mentindo.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento