Versões do WannaCry continuam em estado ‘alarmante’, diz Sophos

O WannaCry pode soar, à primeira lembrança, como uma ameaça já vencida. Afinal, era maio de 2017 quando o ransomware sequestrava computadores no mundo todo, se provando uma das ameaças mais comprometedoras do mundo corporativo. O ataque cibernético atingiu cerca de 200 mil computadores em pelo menos 150 países do mundo. Japão, América do Norte, Europa, China e Brasil estiveram entre as áreas atingidas.

Mas a ameaça parece estar longe de ser superada. A Sophos, empresa britânica de segurança da informação, publicou um estudo sobre os desdobramentos do WannaCry e identificou que, além de ativo, segue em estado alarmante, com milhões de detecções todo mês.

De acordo com os pesquisadores, embora o WannaCry não tenha sido atualizado depois de espalhado, a empresa encontrou milhares de variações efêmeras do mesmo vírus. Essas variações continuam sendo encontradas, pois elas têm a habilidade de driblar o “kill switch”, sistema de segurança que termina automaticamente o processo de infecção caso o malware seja detectado.

Algumas variações do WannaCry foram testadas pela equipe de pesquisadores da Sophos, que descobriu que muitas apresentavam erros no código e, por esse motivo, não criptografaram os dados como era esperado.

Uma espécie de vacina ao WannaCry

A empresa explica que essas variantes com a habilidade de criptografia neutralizada agem como uma vacina acidental, oferecendo a computadores ainda vulneráveis, imunidade a um ataque de WannaCry. Ou seja, caso a vítima tenha uma variação do WannaCry com erros no código em seu computador, ela não poderá ser afetada por um WannaCry efetivo.

O malware WannaCry original foi detectado apenas 40 vezes e, desde então, os pesquisadores da Sophos identificaram 12.480 variantes do código original. A inspeção detalhada de mais de 2.700 amostras (que respondem a cerca de 98%) revelou que todas evoluíram para desviar de “kill switch” e que todas tinham um componente de ransomware corrupto e eram incapazes de criptografar dados.

Em agosto de 2019, a telemetria da Sophos detectou 4,3 milhões de ocorrências do WannaCry. Dessas, quase 7.000 eram variações únicas do WannaCry, sendo 80% delas, arquivos novos.

“O surto do WannaCry em 2017 mudou o cenário de ameaças para sempre. Nossa pesquisa destaca quantos computadores sem patches ainda estão por aí – e, se você não instalou atualizações lançadas há mais de dois anos, quantos outros patches perdeu? Algumas vítimas têm tido sorte, porque variantes do malware as imunizaram contra versões mais recentes”, explica Peter Mackenzie, especialista de segurança na Sophos e um dos principais autores da pesquisa.

“Mas nenhuma organização deve depender disso. Como alternativa, a política de instalar patches assim que ficam disponíveis deveria ser uma prática padrão, além da adoção de uma solução de segurança robusta que cubra todos os endpoints, redes e sistemas”, finaliza Mackenzie.