Mind the Sec: WannaCry rouba cena na ausência de McAfee no Rio de Janeiro

O sucesso de tantas infecções, na visão dos analistas, foi a forma como o ramsonware foi construído.


Por Melissa Cruz Cossetti, do Rio de Janeiro

Na ausência de John McAfee — conhecido como o "pai do antivírus" — a estrela do Mind the SEC 17, no Rio de Janeiro, foi o WannaCry. Presente na fala de quase todos os palestrantes, o ransomware que ativou o alerta vermelho para governos e empresas de todos os setores foi o centro das atenções durante o evento promovido pela Flipside na última quinta-feira (18). Na abertura, os especialistas Fernando Mercês, da Trend Micro, Cassius Puodzius, da ESET e Thiago Marques, da Karspersky, fizeram um longo debate sobre os fatores que influenciaram na propagação do vírus que atingiu organizações em mais de cem países.

Mind the Sec: evento discute WannaCry e reúne especialistas (Foto: Divulgação/MindTheSEC/Marcelo Vallin) Mind the Sec: evento discute WannaCry e reúne especialistas (Foto: Divulgação/MindTheSEC/Marcelo Vallin)

Mind the Sec: evento discute WannaCry e reúne especialistas (Foto: Divulgação/MindTheSEC/Marcelo Vallin)

"No final de semana as coisas ficam um pouco mais soltas, com menos pessoas trabalhando. Como usaram uma falha do Windows, talvez, na visão dos atacantes, demorasse mais para que tomassem as providências", disse Mercês, da Trend Micro. O especialista lembra que atualizar um parque de máquinas pode ser complicado, o que explica, porém não justifica, a demora em instalar os patches. "Muitas empresas optaram por desligar as máquinas numa atitude desesperada", conta.

O ataque ocorreu na sexta-feira (12), último dia útil da semana, em horários diferenciados no globo, e em diferentes momentos de expediente.

O sucesso de tantas infecções, na visão dos analistas, foi a forma como o ramsonware — vírus que encripta, bloqueia os dados do computador e só entrega a chave de acesso após o pagamento em bitcoins — foi a forma como foi construído, combinando exploit, worm e ramsonware.

"Foi o primeiro caso que vimos de um ransomware em forma de worm, que se espalha em rede, não é coisa de amador. Da forma como foi feito, o malware espalhou o terror", explica Puodzius, da ESET.

WannaCry: pagar ou não pagar?

O vírus, porém, infectou mais máquinas do que gerou dinheiro aos atacantes. Para um malware que fez vítimas corporativas no mundo inteiro, os R$ 300 mil até o momento na carteira de bitcoin associada não são uma fortuna. Em parte, o baixo ganho financeiro dos criminosos se dá, na visão dos especialistas, por dois motivos: a total ausência de garantias de que, ao pagar, os atacantes irão, de fato, entregar a chave capaz de desencriptar dados e a falta de conhecimento sobre o bitcoin — moeda virtual exigida pelos hackers como meio de pagamento.

"Você não tem nenhum garantia"

"Com relação ao resgate [do que também chamam de sequestro digital] reforçamos sempre: o nosso conselho é não efetuar o pagamento. Com isso, você vai estar reforçando esse tipo de atividade e, por outro lado, você não tem nenhum garantia", diz Marques, da Kaspersky. "Não temos um caso de alguém que pagou e conseguiu reaver seus arquivos", disse.

Idealizador do evento, Anderson Ramos, da Flipside, acredita que o pouco conhecimento das vítimas sobre criptomoedas também prejudica, mas impede os ganhos dos hackers. "É uma questão de estilo. O ransomware é mais 'barulhento', traz mais exposição a curto prazo, mas a monetização via bitcoin é também mais instantânea", conta.

"A medida que o bitcoin se populariza, populariza também esse tipo de golpe"

Ramos também explica que, com o tempo, esse tipo de ataque pode se tornar mais rentável para os criminosos. "A medida que o bitcoin se populariza, populariza também esse tipo de golpe", completa.

No fim das contas, o ideal é que o usuário e setores responsáveis pela tecnologia das empresas sejam mais proativos, façam o backup dos dados, usem proteções de segurança e mantenham os sistemas atualizados para evitar essa "escolha de Sofia": pagar ou não pagar?

"Se pagar, você está financiando o crime", afirma Mercês.

"Se pagar, você está financiando o crime"

Especulações sobre WannaCry

Sobre quem está por trás dos ataques, o trio explica que, no momento, há muitas especulações. Como ainda não foi encontrado o ponto inicial que deu origem ao ataque em rede, e nenhum grupo assumiu a autoria do crime, o que resta aos analistas é se debruçar sobre as evidências.

"São especulações sobre a [origem na] Coréia do Norte. O que encontramos foi uma ligação entre o WannaCry e o grupo Lazarus. Encontramos bastante coisa que liga esse código ao deles", explica Marques. Segundo a Kasperky, parte do código empregado no ransomware já foi vista em outras investidas do grupo. Porém, é possível que tentem confundir autoridades. "Grupos avançados usam códigos conhecidos de outros para gerar uma falsa identificação", completa.

Fernando Mercês (Trend Micro), Cassius Puodzius (ESET) e Thiago Marques (Karspersky) (Foto: Divulgação/MindTheSEC/Marcelo Vallin) Fernando Mercês (Trend Micro), Cassius Puodzius (ESET) e Thiago Marques (Karspersky) (Foto: Divulgação/MindTheSEC/Marcelo Vallin)

Fernando Mercês (Trend Micro), Cassius Puodzius (ESET) e Thiago Marques (Karspersky) (Foto: Divulgação/MindTheSEC/Marcelo Vallin)

O alcance do ataque, porém, levantou um alerta no mundo inteiro e usuários de todas as versões do Windows correram para atualizar suas máquinas com o pacth. Caso tentem utilizar o mesmo exploit para atacar com outros vírus, as investidas podem não obter sucesso a longo prazo.

"Haverão outras falhas. Podemos estar diante de um momento com uma avalanche de worms. Mas worm é uma coisa que queima rápido", encerra Mercês, que recomenda updates sempre que houver um patch.

"É hora de tratar a segurança não de forma reativa, mas proativa", completa Puodzius.

Ausência de McAfee

McAfee cancelou sua vinda ao Brasil, em um movimento similar ao que ocorreu no ano passado. Em 2016, devido ao lançamento de um documentário "Gringo: The Dangerous Life of John McAfee" que trouxe detalhes de investigações sobre crimes supostamente cometidos pelo especialista no passado, McAfee foi aconselhado por advogados e também acionistas da companhia que leva seu nome a não deixar o país. Desta vez, porém, o executivo alegou uma 'cirurgia de emergência'.

O Mind The SEC - Rio de Janeiro contou com mais de 250 participantes e já tem data marcada para o ano que vem: 17 de maio de 2018.

Foi infectado pelo WannaCry? Troque dicas no Fórum do TechTudo.

MAIS DO TechTudo