{"id":462,"date":"2017-05-13T23:45:15","date_gmt":"2017-05-14T02:45:15","guid":{"rendered":"http:\/\/www.batori.com.br\/blog\/?p=462"},"modified":"2017-05-13T23:57:13","modified_gmt":"2017-05-14T02:57:13","slug":"como-funcionou-a-invasao-em-massa-do-ransomware-wannacry","status":"publish","type":"post","link":"http:\/\/www.batori.com.br\/blog\/como-funcionou-a-invasao-em-massa-do-ransomware-wannacry\/","title":{"rendered":"Como funcionou a invas\u00e3o em massa do Ransomware WannaCry"},"content":{"rendered":"

\"WannaCry\"<\/a><\/p>\n

Introdu\u00e7\u00e3o<\/strong><\/p>\n

Nesta sexta-feira, diversas empresas no mundo todo, incluvise no Brasil foram v\u00edtimas do maior ataque de Ransonware que se tem conhecimento. O ataque conhecido como WannaCry foi reportado pela entre outras grandes empresas, a Telefonica da Espanha, o Servi\u00e7o de Sa\u00fade Nacional do Reino Unido e a FedEx nos Estados Unidos. No Brasil, a Petrobras e o Minist\u00e9rio do Exterior tiveram casos reportados. At\u00e9 a noite da sexta-feira, cerca de 99 pa\u00edses tinham sido atingido.<\/p>\n

\"wannacry-2_051317024735\"<\/a><\/p>\n

Mecanismo de explora\u00e7\u00e3o<\/strong><\/p>\n

O malware respons\u00e1vel por este ataque \u00e9 uma variante do ransomware conhecido como WannaCry. Este malware tem o comportamento de um worm, ou seja, uma vez ativado dentro de uma rede, consegue se propagar sozinho sem a necessidade da intera\u00e7\u00e3o de um usu\u00e1rio. O malware varre as portas TCP\/445 (Server Message Block\/SMB) se espalhando e pedindo resgate em Bitcoin. \u00c9 poss\u00edvel tamb\u00e9m que ele se espalhe para redes externas atrav\u00e9s da internet, por\u00e9m a probabilidade disto ocorrer \u00e9 pequena porque estas portas normalmente s\u00e3o bloqueadas pelos firewall de borda das empresas.<\/p>\n

Foi observado pelo laborat\u00f3rio Talos, que amostras do WannaCry usam o backdoor DOUBLEPULSAR que permite acesso e execu\u00e7\u00e3o de programas adicionais, como malwares. Este backdoor \u00e9 ligado a um framework de explora\u00e7\u00e3o publicado pelo grupo Shadow Brokers.<\/p>\n

Vulnerabilildade<\/strong><\/p>\n

O malware WannaCry explora vulnerabilidade do servi\u00e7o SMB do Windows que foi publicada em mar\u00e7o de 2017 atrav\u00e9s do boletim MS17-010 (https:\/\/technet.microsoft.com\/pt-br\/library\/security\/ms17-010.aspx).<\/p>\n

Controles para mitigar o risco
\n<\/strong><\/p>\n