Recomendações e boas práticas para Ransomware WannaCry

O ataque massivo da passada sexta-feira, 12 de maio, já é globalmente conhecido. Um ransomware conhecido como WannaCry/WannaCrypt0r espalhou-se à escala mundial, aproveitando uma vulnerabilidade publicada pela Microsoft a 14 de março de 2017, descrita no boletim como MS17-010 e conhecida como “EternalBlue”.

Como se propagou?
O WannaCry atua de forma semelhante a um verme, ou seja, tenta propagar-se pela rede. Para tal, explora uma vulnerabilidade de SMB “EternalBlue” (com CVE-2017-0145) que afeta as mensagens da versão 1 de SMB (SMBv1). Analisa tanto a rede interna como externa, realizando ligações na porta 445 em busca de equipamentos não atualizados.

Quais são as causas da sua infeção?
Quando o código malicioso é executado no PC infetado, o WannaCry verifica se existe um domínio específico na Internet. Caso exista, finaliza a sua execução. Caso não exista, começa a sua tarefa criando serviços de sistema, entradas no registo do Windows, várias threads para distintas tarefas e, finalmente, cifra todos os ficheiros encontrados que cumprem um padrão de extensão em todas as unidades que encontre no sistema infetado. Enquanto isso, procede a infetar novas máquinas, como se explica no ponto anterior.

Continua a propagar-se?
Neste momento, a sua propagação foi parcialmente detida, uma vez que foi registado o domínio ao qual o WannaCry faz pedidos, graças a um investigador em cibersegurança, que foi quem registou este domínio.

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.

— MalwareTech (@MalwareTechBlog) 13 de maio de 2017

No entanto, é importante estar preparado, uma vez que se está a falar de novas versões onde não exista um “kill switch”.

Pode afetar os meus PCs de fábrica?
A resposta é sim. De facto, estes são os PCs que costumam ser mais vulneráveis, devido à falta de atualização e aplicação de patches que sofrem e à grande utilização de sistemas operativos antigos.

Todas as versões do Windows até ao Windows 8 e WServer 2012 são vulneráveis sem a patch. Isso inclui todos os Windows Server 2003, Windows Server 2008, Windows Vista, XP e Windows 7. SO amplamente difundidos em fábrica e nos quais a atualização automática de patches costuma estar desativada.

O que devo fazer?
A seguir, separam-se as ações em dois blocos: prevenção e deteção.

1. Ações de Prevenção
a. Instalar de forma imediata a patch da Microsoft para a vulnerabilidade MS17-010:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
b. Desativar protocolos antigos, incluindo SMBv1.
c. Bloquear as ligações de entrada a portas SMB (139 e 445) de equipamentos externos à rede.
d. Isolar, na medida do possível, equipamentos com Windows não suportados.
e. Atualizar as bases de dados de assinaturas dos sistemas antivírus.
f. Realizar backups dos sistemas e mantê-los atualizados.
g. Implementar proteção específica nos endpoints que não podem ser corrigidos.
h. Não utilizar contas com permissões de administrador.

2. Ações de Deteção
a. Implementar sistemas IDS/IPS na rede, com assinaturas atualizadas, para a deteção de “EternalBlue”.
b. Verificar se os endpoints têm as últimas assinaturas.
c. Verificar se não existe tráfego TOR na nossa rede. Isto poderá indicar uma infeção.
d. Verificar o log DNS em busca de rastos relacionados com o malware.

Que boas práticas posso adotar para prevenir Ransomware?
Finalmente, e diretamente extraído do documento “Buenas Prácticas CCN-CERT BP-04/16” do CCN-Cert, uma vez que me parece muito completo, expõem-se a seguir uma série de boas práticas, que se recomenda ter em conta sempre na medida do possível para prevenir a infeção e propagação do ransomware.

1. Manter cópias de segurança periódicas de todos os dados importantes. É necessário manter essas cópias isoladas e sem conectividade com outros sistemas,
   evitando assim o acesso a partir de equipamentos infetados.
2. Manter o sistema atualizado com as últimas patches de segurança, tanto para o sistema operativo como para o software que tenha instalado.
3. Manter uma primeira linha de defesa com as últimas assinaturas de código malicioso (antivírus), além de dispor de uma correta configuração das
   firewalls a nível de aplicação (baseado em listas brancas de aplicações permitidas).
4. Dispor de sistemas antispam a nível de correio eletrónico e estabelecer um nível de filtragem alto. Desta forma, reduzem-se as possibilidades de infeção através
   de campanhas massivas de ransomware por correio eletrónico.
5. Estabelecer políticas de segurança no sistema para impedir a execução de ficheiros a partir de diretórios comummente utilizados pelo ransomware (App Data,
   Local App Data, etc.). Ferramentas como AppLocker, Cryptoprevent ou CryptoLocker Prevention Kit permitem criar facilmente essas políticas.
6. Bloquear o tráfego relacionado com domínios e servidores C2 mediante um IDS/IPS, evitando assim a comunicação entre o código malicioso e o servidor de
   comando e controlo.
7. Estabelecer uma defesa em profundidade empregando ferramentas como EMET, uma solução que permite mitigar exploits (incluídos 0-days).
   Não utilizar contas com privilégios de administrador, reduzindo o potencial impacto da ação de um ransomware.
8. Manter listas de controlo de acesso para as unidades mapeadas na rede. Em caso de infeção, a cifragem ocorrerá em todas as unidades de rede
   mapeadas no equipamento vítima. Restringindo os privilégios de escrita na rede, mitigar-se-á parcialmente o impacto.
9. Recomenda-se o emprego de bloqueadores de Javascript para o navegador, como por exemplo “Privacy Manager”, que impede a execução de todos aqueles
   scripts que possam supor um dano para o nosso equipamento. Deste modo, reduziremos as opções de infeção a partir da web (Web Exploit Kits).
10. Mostrar extensões para tipos de ficheiro conhecidos, com o fim de identificar possíveis ficheiros executáveis que possam fazer-se passar por outro tipo de ficheiro.

Adicionalmente, recomenda-se a instalação da ferramenta “Anti Ransom”, que tratará de bloquear o processo de cifragem de um ransomware (monitorizando “honey files”). Além disso, esta aplicação realizará um despejo da memória do código malicioso no momento da sua execução, no qual, com sorte, se pode encontrar a chave de cifragem que estivesse a ser empregue.

Finalmente, o emprego de máquinas virtuais evitará, numa alta percentagem de casos, a infeção por ransomware. Devido às técnicas anti-debug e antivirtualização comummente presentes neste tipo de código malicioso, demonstrou-se que, num ambiente virtualizado, a sua ação não chega a materializar-se.

Como conclusão final, é importante ter em conta que se esperam novos ataques e que, por esse motivo, é importante a adoção de medidas de segurança para prevenir e detetar este tipo de ataques. Além disso, é importante acrescentar que o fator humano desempenha um papel crucial, uma vez que a engenharia social costuma ser um dos fatores chave.