(Foto: reprodução) |
O pesadelo do WannaCry parece estar se repetindo. Hoje, um novo vírus conhecido como Petwrap começou a infectar máquinas de grandes empresas, incluindo bancos estatais, ao menos um hospital brasileiro e multinacionais como a empresa farmacêutica Merck. Assim como o WannaCry, ele criptografa os dados da máquina afetada e só os descriptografa mediante o pagamento de um resgate, e ele já rendeu cerca de R$ 20 mil aos atacantes.
De acordo com Wolmer Godoi, o diretor de cibersegurança da Cipher, a semelhança entre os dois ataques não pára por aí. O Petwrap explora a mesma vulnerabilidade de SMBv1 que o WannaCry explorava para infectar novas máquinas. Essa vulnerabilidade, chamada também de "EternalBlue", já era conhecida pelo exército dos EUA, que não informou a Microsoft sobre ela. A empresa só ficou sabendo quando um grupo de hackers invadiu o exército e depois vazou as vulnerabilidades.
O SMBv1
O SMBv1, segundo Godoi, é a primeira versão do SMB, o protocolo de compartilhamento de arquivos entre computadores com Windows. "Com o tempo, a Microsoft evoluiu esse protocolo", diz Godoi, "mas as versões anteriores continuam habilitadas em computadores mais novos". O motivo disso é compatibilidade: se um computador novo precisa compartilhar arquivos em rede com uma máquina mais antiga, ele precisa desse protocolo para conseguir fazer o envio.
Acontece que esse protocolo antigo tinha uma falha - e como ele ainda estava habilitado mesmo em máquinas novas, até mesmo computadores com Windows 10 estavam vulneráveis a essa falha. Foi ela que permitiu que o WannaCry se disseminasse tão rapidamente no mês passado, porque além de criptografar o computador afetado, o malware também se espalha para outras máquinas conectadas.
Desde então, a Microsoft liberou uma atualização para os PCs que corrigia essa falha e imunizava-os contra ataques desse tipo. Mesmo assim, muitos computadores continuaram vulneráveis, por alguns motivos. Alguns usuários e empresas não instalaram a atualização, ou por não saber da importância de fazê-lo, ou por medo de perder algo de privacidade com a atualização. Outro fator é que muitos computadores ainda usam versões piratas do Windows, que não recebem atualização.
Infecção
Quando uma máquina é infectada pelo Petwrap, segundo Godoi, ela recebe apenas um arquivo executável bem pequeno. Por seu tamanho reduzido, ele passa despercebido pela maioria dos programas de antivírus e consegue se instalar na máquina afetada. Feito isso, ele se conecta a servidores externos para baixar deles outros arquivos e módulos que permitem que ele cause todo o estrago que ele causa.
No caso do Petwrap, os arquivos baixados alteram o "master boot record" (MBR) da máquina infectada. Essa parte é responsável pela inicialização do computador, e a mudança faz com que o computador não seja inicializado. Além disso, todo o conteúdo dos discos da máquina infectada são criptografados, e se tornam completamente inacessíveis até que sejam descriptografados. Trata,se sefundo Godoi, de um esquema "simples e genial".
Segundo Cleber Brandão, o gerente do laboratório de inteligência da BlockBit, esse aspecto diferencia o Petwrap do WannaCry. "O WannaCry ainda deixava você acessar seu computador para realizar o pagamento em bitcoin, por exemplo. Mas com o Petwrap, você não abre nem o Windows", comenta.
Diagnóstico
Para descobrir esses aspectos do funcionamento do malware, as empresas de segurança simulam o ataque, como se estivessem se deixando infectar. A diferença é que elas fazem isso em uma máquina virtual (uma espécie de computador rodando dentro de um computador) completamente monitorada. Cada ação que acontece nessa máquina virtual é monitorada e registrada pela máquina na qual ela está hospedada.
Nenhum comentário:
Postar um comentário