Vários investigadores acreditam que outros atacantes vão começar a explorar a mesma falha aproveitada pelo ransomware e Sérgio Martins, da EY, sugere a adopção de ciclos mais curtos de actualização de sistemas.
Enquanto os investigadores de segurança investigam o ataque maciço da última sexta-feira com ransomware WannaCry, há indícios que podem ligar a ofensiva ao grupo de hacking, Lazarus, suspeito de atacar bancos em todo o mundo e de ligações à Correia do Norte.
Essas evidências podem revelar-se inconclusivas e mais provável é que outros atacantes comecem a explorar a mesma falha aproveitada pelo referido ransomware.
A diferença entre o software de ataques anteriores do WannaCry, e o último, é um componente com funcionalidades de “worm” para infecção mais rápida entre computadores, notou Jorge Pinto, presidente da Associação Portuguesa para a Promoção da Segurança da Informação (AP2SI). O malware explora uma vulnerabilidade crítica de execução remota de código na implementação do protocolo Server Message Block 1.0 (SMBv1) do Windows.
Mas os atacantes não desenvolveram muito trabalho uma vez que simplesmente adaptaram uma forma de exploração existente revelada em Abril pelo grupo Shadow Brokers. Desde então, os pesquisadores descobriram pelo menos mais um par de versões.
Uma que tenta contactar um domínio diferente, que investigadores também conseguiram registar e que não tem interruptor de desactivação evidente. No entanto, a última versão é não-funcional e parece ter sido um teste de alguém que manualmente corrigiu o código para remover esse mecanismo, em vez de recompilá-lo a a partir do seu código fonte original.
Apesar do abrandamento do alcance da ameaça, Sérgio Martins (EY), concorda que “vão surgir novas variantes” e além disso a tentarem “contornar as vulnerabilidades agora resolvidas”.
Isso levou os investigadores a concluir que provavelmente não é o trabalho dos seus autores originais. Outros especialistas do fórum de suporte de informática BleepingComputer.com detectaram quatro imitações.
Estão em vários estágios de desenvolvimento e tentam mascarar-se como o WannaCry, mesmo que alguns não sejam capazes de cifrar ficheiros, quando foram identificados. O facto indica que os ataques, tanto dos autores do WannaCry como de outros cibercriminosos, deverão continuar.
E apesar de haver patches, muitos sistemas permanecerão talvez vulneráveis por algum tempo. Apesar do abrandamento do alcance da ameaça, Sérgio Martins , director executivo da área de cibersegurança da EY Portugal, concorda que “vão surgir novas variantes” e além disso a tentarem “contornar as vulnerabilidades agora resolvidas”.
Os fornecedores de tecnologia de segurança ainda descobrem actualmente tentativas de exploração bem sucedidas para o MS08-067, uma vulnerabilidade do Windows que permitiu a disseminação do “worm” Conficker, há cerca de nove anos.
Catalin Cosoi (Bitdefender) a acredita que os grupos de ciberespionagem patrocinados pelo Estado também podem aproveitar a falha do SMB para implantar portas dissimuladas furtivas em computadores, enquanto os profissionais de segurança estão ocupados com ataques de ransomware muito mais visíveis
“Provavelmente a situação deverá piorar antes de melhorar, dado que vai ser uma das ameaças mais graves para os próximos 12 meses”, considera Catalin Cosoi, estratega-chefe de segurança na Bitdefender, num blogue. Ele acredita que os grupos de ciberespionagem patrocinados pelo Estado também podem aproveitar a falha do SMB para implantar portas dissimuladas furtivas em computadores, enquanto os profissionais de segurança estão ocupados com ataques de ransomware muito mais visíveis.
Ainda não há certezas sobre se este ransomware “poderá ter comprometido algo mais nos sistemas”, reforça Sérgio Martins.
A empresa de segurança BinaryEdge, especializada no rastreio através da Internet, detectou mais de um milhão de sistemas Windows com o serviço SMB exposto à rede Internet. O número é consideravelmente maior do que as 200 mil máquinas afectadas pelo WannaCry, por isso há potencial para mais ataques e vítimas.
O sucesso do WannaCry mostrou que um grande número de organizações estão atrasadas na aplicação de patches e que muitos têm sistemas legados que executam versões antigas do Windows. Até certo ponto, isso é compreensível porque a implantação de correcções em ambientes com um grande número de sistemas não é uma tarefa fácil.
As empresas precisam testar os patches antes de instalá-los para garantir que eles não têm problemas de compatibilidade com os aplicativos existentes e quebrar os fluxos de trabalho existentes. Sérgio Martins, da EY, conclui deste ataque que as empresas precisam “definir políticas de actualização de sistemas operativos mais céleres”.
O ataque atingiu a referida dimensão devido aos ciclos de actualizações nas empresas, os quais “por vezes não chegam a todos os equipamentos”, vinca. No entanto, existem medidas que podem ser tomadas para proteger esses sistemas, como isolá-los em segmentos de rede onde o acesso é estritamente controlado ou desativando protocolos e serviços desnecessários.
“As organizações têm a responsabilidade de dar ferramentas de treino aos colaboradores”, insiste, S+erbio Martins (EY)
A Microsoft está a tentar convencer as empresas a deixarem de usar o SMBv1 há algum tempo, porque o protocolo tem outros problemas. Mas “existem certas organizações ou sectores – por exemplo, médicos – onde não é simples aplicar as correcções”, reconhece Carsten Eiram, director de pesquisa da empresa de inteligência sobre vulnerabilidades, Risk Based Security, por e-mail.
“Nesses casos, é imperativo que eles compreendam correctamente os riscos e procurem soluções alternativas para limitar a ameaça”. As organizações têm de “sensibilizar os utilizadores para a utilização correcta dos sistemas de informação”, porque actualmente, “a maior lacuna continua a ser o utilizador”, defende Sérgio Martins.
As “empresas investem muito em tecnologia e processos”, mas têm de ir mais longe. “As organizações têm a responsabilidade de dar ferramentas de treino aos colaboradores”, insiste.
O sucesso do WannaCry, pelo menos na medida em que a distribuição rápida está em causa, provou aos cibercriminosos há muitos sistemas vulneráveis em redes empresariais que podem ser alvo de exploits antigos. E é possível que tentem usar outras formas de exploração de falhas do grupo Equationl supostamente ligado à National Security Agency.
Tendem também a tornar-se mais rápidos na adopção de técnicas para explorar novas vulnerabilidades, que possibilitem ataques similares em massa sobre redes LAN.
Semelhanças de código com ferramentas do Lazarus
Investigadores de segurança detectaram uma semelhança entre uma versão anterior do WannaCry e uma ferramenta de hacking usada pelo grupo Lazarus. Aparentemente, uma variante do WannaCry encontrada em Fevereiro, partilhado algum código com uma ferramenta de hacking usada pelo referido conjunto em 2015.
Tanto o ataque à Sony, em 2014, como uma série mais recente, de ataques a bancos, foram vinculada ao grupo. Especialistas de segurança suspeitam que o grupo trabalha para a Coreia do Norte.