Sophos acompanha evolução do WannaCry de predador a vacina de alto risco





A Sophos (LSE:SOPH), líder global de segurança na rede e para endpoint, publicou o WannaCry Aftershock, um estudo sobre o que aconteceu ao infame malware WannaCry, no seguimento do ataque mundial que começou a 12 de maio de 2017. A pesquisa da SophosLabs demonstra que a ameaça WannaCry continua implacável, com milhões de tentativas de infeção detidas todos os meses, e se o malware original não foi atualizado, dezenas de variantes de curta duração continuam a causar estragos.


A existência contínua da ameaça WannaCry deve-se, em grande parte, à capacidade destas novas variantes para ultrapassar o "kill switch." No entanto, quando os investigadores da Sophos analisaram e executaram um conjunto de amostras de variantes, descobriram que a sua capacidade para encriptar dados estava neutralizada como resultado da corrupção de código.

Devido à forma como o WannaCry infeta novas vítimas (verificando se o computador já se encontra infetado e, em caso afirmativo, avançando para outro alvo), faz com que essa infeção através de uma versão inativa do malware proteja efetivamente o dispositivo de ser afetado pela estirpe ativa. Em resumo, as novas variantes do malware atuam como uma vacina acidental, oferecendo aos computadores ainda sem patch e vulneráveis uma certa imunidade a ataques subsequentes efetuados pelo mesmo malware.

No entanto, o facto destes computadores poderem ser, à partida, infetados indica que o patch contra o principal exploit utilizado nos ataques WannaCry não foi instalado, um patch disponibilizado há mais de dois anos.

O malware WannaCry original foi detetado apenas 40 vezes e desde então os investigadores da SophosLabs identificaram 12.480 variantes do código original. Uma investigação mais próxima a mais de 2.700 amostras (contabilizando 98% das deteções) revelou que todas evoluíram para ultrapassar o "kill switch" (um URL específico que, caso o malware se conecte a ele, termina automaticamente o processo de infeção) e todos continham uma componente de ransomware corrupta e não tinham capacidade para encriptar dados.

Em agosto de 2019, a telemetria da Sophos detetou 4.3 milhões de casos do WannaCry. O número observado das diferentes variantes foi 6.963. Desse total, 5.555 ou 80% - eram novos ficheiros.

Os investigadores da Sophos identificaram também a primeira ocorrência da variante corrompida mais difundida atualmente, dois dias depois do ataque original: a 14 de maio de 2017, quando foi transferida para o VirusTotal, mas ainda não tinha sido avistada noutros sistemas.

"O aparecimento do WannaCry em 2017 alterou para sempre o cenário de ameaças. A nossa pesquisa destaca a forma como vários computadores sem patch continuam a circular, e se ainda não instalou as atualizações lançadas há mais de dois anos – quantos outros patches já perdeu? Neste caso, algumas vítimas têm sorte dado que as variantes do malware os tornaram imunes contra as novas versões. Mas nenhuma organização devia confiar nisto. Pelo contrário, a prática comum deveria ser uma política de instalação de patches assim que são lançados, e uma forte solução de segurança instalada que abranja todos os endpoints, redes e sistemas," refere Peter Mackenzie, Security Specialist da Sophos e autor principal da pesquisa.

Como se proteger contra o malware e ransomware WannaCry no geral
  • Verifique se tem à sua disposição um inventário completo de todos os dispositivos conectados à sua rede e que todos se encontram atualizados no que diz respeito ao seu software de segurança
  • Instale sempre os últimos patches assim que sejam disponibilizados, em todos os dispositivos da sua rede
  • Verifique se os seus computadores têm o patch contra o exploit EternalBlue utilizado no WannaCry, seguindo estas instruções: How to Verify if a Machine is Vulnerable to EternalBlue - MS17-010
  • Faça backups regulares dos seus dados mais importantes e atuais num dispositivo de armazenamento offline, como a melhor forma para evitar ter de pagar um resgate se for afetado por um ransomware
  • Não existe nenhuma solução miraculosa para a segurança, e um modelo com vários níveis é a melhor prática que todas as empresas precisam de implementar
  • Por exemplo, o Sophos Intercept X utiliza uma abordagem abrangente de defesa em profundidade para proteção endpoint, reunindo as várias técnicas principais de próxima geração para oferecer deteção malware, proteção exploit e deteção e resposta endpoint (EDR) incorporada

0 comentários: