No último dia 12 o mundo se agitou em torno do ataque de um novo ransomware, o WannaCry. Ao contrário da maioria dos programas hostis, este não se propagou por meio de links deceptivos ou anexos de correio eletrônico, e sim varrendo a rede a procura de sistemas vulneráveis, notadamente Windows desatualizados.

A vulnerabilidade explorada pelo WannaCry foi descoberta pela NSA, a agência de segurança nacional americana, que a manteve em segredo, segredo esse que acabou vazando. Em março a Microsoft soube do vazamento e lançou remendos para seus sistemas operacionais, até mesmo para o velho Windows-XP, cujo ciclo de manutenção já havia sido encerrado. Ocorre que por diversos motivos muitos sistemas importantes não foram devidamente atualizados, e não é difícil entender por que. Quantas vezea ao atualizar um sistema operacional alguma coisa importante deixa de funcionar?

Naquela sexta-feira, 12, mas que poderia ter sido 13, sistemas muito importantes e muito visíveis, como de hospitais, placares de aeroportos, estações ferroviárias, passaram a mostrar uma tela informando que os arquivos foram cifrados e exigindo um resgate a ser pago em Bitcoins pela chave que os decifraria. Em questão de horas o malware se propagou de forma epidêmica, fazendo vítimas em toda a Internet, inclusive no Brasil. Nos registros dos firewalls observa−se um número incomum de tentativas de violação da porta 445/tcp tanto em IPv4 quanto em IPv6 nesse dia.

Nesse mesmo dia, Marcus Hutchins, um jovem hacker conhecido como MalwareTech, do Reino Unido, descobriu que o wannacry tenta resolver o curioso nome iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Hutchins registrou o domínio e notou que ele funciona como uma chave de desligamento do WannaCry. A principal razão para haver uma chave de desligamento nesse tipo de programa é causar dificuldades a quem tentar decifrar-lhe o comportamento em um ambiente controlado de depuração.

O estrago do WannaCry teria sido maior se outro hacker, desta vez um francês, Adrien Guinet, não tivesse descoberto um erro do programa: os parâmetros aritméticos usados para cifrar os arquivos ficavam na memória e podiam ser recuperados para decifrar os arquivos, sem a necessidade do pagamento de resgate.

Estivemos presentes à última reunião do GTS, Grupo de Trabalho em Segurança do Comitê Gestor da Internet no Brasil, realizada em Foz do Iguaçu no dia 26 de maio, em um painel que discutiu a crise do WannaCry, com a mesa formada por Danton Nunes (Internexo), Prof. Adriano Cansian (UNESP) e, por teleconferência desde o Canadá, Fernando Montenegro. O vídeo do painel está publicado no YouTube. As notas desse painel e outras apresentações dessa conferência podem ser encontrados em ftp://ftp.registro.br/pub/gts/gts29/.

O sistema Safe.bitS desenvolvido pela Internexo é uma arma poderosa contra ataques de ransomware como o WannaCry, pois mantém todo o histórico dos arquivos, como uma máquina do tempo contínua. Com ele é possível recuar o sistema de arquivos no tempo até o instante imediatamente anterior ao início do ataque e resgatar os arquivos incólumes.

Danton Nunes, diretor técnico da Internexo