Se eu tivesse entrevistado especialistas em cibersegurança a caminho do trabalho em 12 de maio de 2017, a maioria deles teria dito que sabia que um grande evento de cibersegurança estava prestes a acontecer.
Ainda assim, naquele dia ninguém esperava que estivesse caminhando para a tempestade perfeita — na forma do ransomware WannaCry, o ataque cibernético mais danoso até então — ao viajar de carro, trem ou balsa para seus respectivos escritórios naquela manhã de primavera.
Nossos dispositivos, sistemas e redes estão cada vez mais interconectados, o que significa que os vírus podem se migrar com muito mais facilidade entre sistemas do que no passado. Mas sem um grande evento na memória recente, a maioria de nós (até mesmo um jornalista de cibersegurança como eu) ficou um pouco complacente. Quando você combinou esses fatores com o número de dispositivos e sistemas ativos, o cenário estava montado.
Esse ataque de ransomware foi o maior evento de cibersegurança que o mundo já tinha visto, em parte porque seu impacto foi muito mais amplo do que o próprio surto. Ele gerou enormes ondas de choque em empresas, na política, na comunidade hacker e na cultura de cibersegurança.
Mesmo depois que o kill switch foi descoberto, o vírus continuou a devastar cada sistema e todos os dados que tocava — atacando os sistemas computacionais de 300 organizações em 150 países.
A Rússia sofreu o maior número de tentativas de infecção de qualquer país do mundo, segundo a BBC. No entanto, a maioria dos servidores de missão crítica não foi afetada, pois eles utilizavam um software da era soviética conhecido como Elbrus. Contudo, essa imunidade técnica não impediu a propagação do vírus por computadores em todo o país. Ele derrubou endpoints no ministério do interior, nas ferrovias, nos bancos e na gigante operadora móvel Megafon.
Cobrir o WannaCry em tempo real me deixou intrigada e cheia de perguntas, mesmo anos depois. Sempre que o ataque voltava a ser assunto nos últimos três anos, eu ouvia o mesmo tema repetido: WannaCry foi avassalador e mudou a maneira como abordamos a cibersegurança e como enxergamos os riscos para os negócios.
Para mim, esse sentimento era amplo demais para um evento dessa magnitude. Eu tinha perguntas específicas. Como foi ser um profissional de segurança em 12 de maio de 2017? Qual foi o impacto total para empresas e governos em todo o mundo? Como o que aprendemos naquele dia moldou nosso cenário atual de negócios, tecnologia e cibersegurança?
Eu também me perguntava como o fato de o mundo inteiro estar assistindo ao evento — pelas redes sociais e pelos sites de notícias digitais — mudou tanto a resposta quanto o impacto geral. Líderes empresariais e o público acompanhavam a cobertura, e ninguém sabia exatamente o que estava acontecendo. Quase todos concordavam que aquilo parecia sombrio. Eu também queria saber se isso intensificou o pânico público ou ajudou a resolver o problema mais rápido.
“Isso ainda é grande. É citado como o exemplo de algo para o qual as organizações não estavam preparadas. Foi um alerta muito importante para muitas empresas”, diz Tracey Nash, gerente do programa IBM X-Force Incident Command. Nash considera o dia 12 de maio de 2017 como o momento em que as organizações perceberam que precisavam considerar o lado empresarial dos riscos de cibersegurança.
Para descobrir exatamente o que aconteceu — e, ainda mais importante, por que o WannaCry deixou uma cratera no cenário — conversei com pessoas importantes que responderam ao ataque. Uma das pessoas com quem passei muitas horas conversando foi Wendi Whitmore, vice-presidente da IBM X-Force Threat Intelligence. Também falei com Christopher Scott, diretor de Security Innovation and Remediation (Office of the CISO) na IBM, para obter sua perspectiva sobre os eventos daquele dia e sobre a recuperação após o ataque.
Esta história narra a jornada para descobrir o que realmente aconteceu naqueles dias caóticos três anos atrás — e como o impacto e o legado do WannaCry permanecem vivos até hoje.
Muitas pessoas, até mesmo profissionais de cibersegurança líderes do setor, ficaram sabendo do ataque a partir de um tweet. Um médico do Sistema Nacional de integridade (NHS) do Reino Unido estava entre os primeiros a dar a notícia sobre o ataque maciço no Twitter. Isso foi seguido por inúmeros colegas que mostraram fotos de suas telas de computadores bloqueadas, todas com a mesma mensagem: “Ooops, seus arquivos foram criptografados!”
Na época, os funcionários do NHS não tinham ideia de que o ataque acabaria por resultar em 70.000 dispositivos infectados e no fechamento total de um terço de todos os hospitais do NHS. O impacto do WannaCry no NHS e em outros hospitais ao redor do mundo foi a prova de que o crime cibernético poderia causar estragos na era da Internet das coisas médicas (IoMT). Felizmente, pesquisadores de segurança clínica estabeleceram definitivamente que o caos do criptoworm não resultou em nenhuma morte de paciente.
Mesmo aqueles que não estavam em seus computadores perceberam rapidamente que algo grande estava acontecendo:
Uma demanda por bitcoin apareceu na sinalização digital que anunciava chegadas e partidas de treinar na Alemanha.
Essas palavras exatas também apareceram em dezenas de telas de cinema na Coreia do Sul.
Em Jacarta, Indonésia, pacientes hospitalares esperaram várias horas enquanto os médicos trocavam os sistemas de computador pelos registros em papel.
Whitmore, que na época trabalhava como parceira global e líder de resposta a incidentes com a X-Force Threat Intelligence, diz que quase assim que o ataque começou, sua equipe começou a coçar a cabeça e a dizer em voz alta: "Isso é estranho."
Especificamente, a equipe de Whitmore sabia que estava enfrentando algo diferente quando descobriu que era literalmente impossível liberar arquivos infectados. O ransomware não forneceu uma maneira para os hackers saberem quem pagou o resgate.
Uma de suas primeiras prioridades era obter cópias do malware. Ela sabia que você não pode parar algo até saber exatamente como funciona. Mas obter as cópias e dividi-las era difícil, especialmente sob a pressão de saber que o mundo estava rapidamente parando.
O WannaCry foi o ataque de crime cibernético de expansão mais rápida já experimentado. Computadores conectados à Internet não corrigidos podem ser vítimas em minutos e começar a espalhar o worm por meio de uma rede. Muitas notícias descrevem equipes de TI correndo de um lado para o outro tentando conter os danos enquanto seus colegas ligavam seus PCs de trabalho.
Quando perguntei a Laurance Dine, líder global da X-Force Threat Intelligence (que na época trabalhava para um provedor de serviços gerenciados global), sua melhor memória do dia, ele disse que era o telefone tocando constantemente. Cada pessoa do outro lado da linha era um cliente em pânico precisando de ajuda. Ele resumiu o dia como "uma insanidade absoluta".
Muito rapidamente, toda a equipe dele — incluindo outros especialistas em segurança que não faziam parte da equipe de resposta a incidentes — acabou sendo enviada para a linha de frente.
“Estava tudo sobre tudo e parecia que todos estavam envolvidos. O cidadão comum sabia o que estava acontecendo com o ransomware", diz Dine. "Eles entenderam as notícias e o que estava acontecendo, e não podiam ir aos hospitais, e a vida das pessoas foi afetada por isso."
Ao longo do dia, os funcionários da resposta a incidentes cancelaram coletivamente seus planos e se prepararam para um longo fim de semana de trabalho árduo. Todos estavam observando as empresas globais atônitos com a esteira do worm WannaCry.
O que nenhum de nós sabia na época era que o criptoworm destruindo todos os sistemas que tocou era na verdade de uma vulnerabilidade de dois meses conhecida como EternalBlue. Assim que o "Wanna Decryptor" conseguiu infectar uma única máquina em uma única rede, o WannaCry começou a se espalhar para outros computadores na mesma rede enquanto fazia a varredura na internet em busca de outras máquinas não corrigidas. A vulnerabilidade explorada pela EternalBlue deixou máquinas Windows não corrigidas abertas à infecção e à disseminação do vírus WannaCry.
Os criptoworms geralmente podem ser detectados rapidamente em redes corporativas. Mas o WannaCry permaneceu fora do radar — até que isso acontecesse. A detecção é algo que muitos agentes de ameaça sofisticados de ameaça tentam evitar a todo custo, especialmente durante um ataque altamente direcionado, mas o WannaCry não era um ataque direcionado. Foi um ataque global e cuidadosamente planejado, projetado para chamar o máximo de atenção possível, que foi exatamente o que aconteceu.
Em muitos casos, explica Scott, a distribuição também foi possibilitada pelo que ele chama de "rede M&M". Em um caso como esse, a estrutura de rede é rígida por fora e flexível por dentro. Este era um interior acolhedor para agentes da ameaça e criptoworms. Ele observa que, depois que o criptoworm passou pela casca dura na edge da rede, o WannaCry encontrou muita liberdade para migrar pelo ambiente.
Nas sete horas seguintes, o "grande verme pegajoso" causou estragos no mundo todo, até que os pesquisadores de cibersegurança Marcus Hutchins e Jamie Hankins descobriram um mecanismo de eliminação. Dois kill switches adicionais foram descobertos, eventualmente tornando a tensão do ransomware principalmente inerte.
Mas o longo processo de remediação estava apenas começando para 300 organizações em todo o mundo, e nenhuma de nós percebeu a extensão dos danos e o processo para fazer as correções. Ainda estávamos em território não mapeado, incluindo a equipe de Scott, que estava correndo para aplicar uma correção.
"Eu precisava trazer esses ambientes de volta ao recurso operacional", diz Scott. “Mas como fazemos os testes para garantir que uma correção esteja funcionando? Como passamos pela aceitação do usuário? E, então, como migrarmos isso para a produção?”
Em muitos casos, a equipe de Scott teve que ignorar os processos tradicionais de teste e correr o risco de que a pressa “quebraria algumas coisas”. O WannaCry não ofereceu exatamente opções às pessoas, o que foi uma das grandes razões para a destruição em massa que sofreu.
A maioria dos profissionais de cibersegurança sabe que o WannaCry não foi um sucesso financeiro, e os dados sobre seu lucro líquido mostram que foi muito menor do que o esperado. Registros de blockchain revelam que, entre maio de 2017 e dezembro de 2019, o WannaCry rendeu aos invasores um total de cerca de US$ 386.000, embora o total varie de acordo com a avaliação do bitcoin. Isso representa quase nada, USD 1,08 ou menos por computador infectado.
Comparado a vírus de e-mail muito anteriores, estritamente em termos de dólares, era quase uma pechincha. A Symantec estimou US$ 4 bilhões em perdas financeiras em 2018 devido ao WannaCry, um número provavelmente maior hoje. O vírus Conficker causou mais de US$ 9,1 bilhões em danos em 2007 e infectou milhões de computadores em todo o mundo. Em 2004, o MyDoom causou cerca de US$ 38 bilhões em danos e afetou cerca de 25% dos e-mails enviados ao longo do ano.
Esse criptoworm foi criado para fazer muito barulho em vez de lucrar com um único alvo. Os agentes da ameaça por trás do WannaCry aproveitaram especificamente o software de contabilidade fiscal ucraniano — um software que o governo exigia para qualquer organização que fizesse negócios na Ucrânia, de acordo com Dine. Ao enviar uma atualização de software, os agentes da ameaça conseguiram derrubar uma grande parte da infraestrutura nacional da Ucrânia ao longo do caminho.
A grande maioria dos crimes cibernéticos tem motivação financeira. É raro encontrar um ransomware projetado para causar estragos em massa com pouca preocupação com os resgates reais.
Quando perguntada sobre o que ela achava que era a parte mais significativa do WannaCry, Whitmore diz que tudo foi significativo.
“Foi certamente um enorme alerta”, afirma Whitmore. "Então, para qualquer Organização que viu esses conglomerados globais... que tinham bons programas e protocolos de segurança que foram afetados [pelo vírus], isso aumentou a consciência."
Campanhas mais direcionadas tornaram-se mais comuns após o WannaCry, diz ela. Embora os ataques nem sempre sejam contra um único cliente, agora agentes de ameaça podem enviar muitos e-mails de phishing e obter acesso a 10 clientes. A partir desse ponto, ela observa os agentes de ameaça passando de seis a doze meses realizando um reconhecimento minucioso de alvos potenciais, enquanto evitam ser detectados dentro da rede.
Eventualmente, afirma Whitmore, eles acionam o ransomware onde sabem, ou suspeitam, que terão maior chance de receber o pagamento.
O WannaCry é provavelmente, ao menos em parte, responsável pelo vetor de ameaça atual e pela crescente popularidade dos ataques de ransomware comercial. Em 2017, o ransomware representou 39% de todos os incidentes de malware com perda de dados, segundo o Data Breach Investigations Report (DBIR) 2018. Desde então, os ataques se transformaram e se tornaram muito mais sofisticados e caros para as vítimas. O ransomware comercial também costuma ser altamente capaz de escapar de métodos de detecção.
Muitas organizações impactadas tinham amplos backups de dados, mas eles nem sempre eram recuperáveis. Em muitos casos, os backups estavam conectados à rede e vulneráveis a serem bloqueados pelo WannaCry. Em outros, as organizações mantinham backups externos, mas não os testavam para uma recuperação rápida.
O incidente de cripto-ransomware de maio de 2017 foi um ponto de virada no cenário de ameaças. O WannaCry teve um impacto positivo na cultura de cibersegurança corporativa, mas também impulsionou o ransomware para o centro da atenção de agentes de ameaça globais. Muitos agentes de ameaça de ransomware comercial agora realizam pesquisas detalhadas sobre o valor dos dados de uma vítima caso eles sejam perdidos ou vendidos a um concorrente.
Um exemplo: Whitmore viu recentemente um ataque de ransomware contra uma organização nas últimas seis semanas. “Os invasores pediram USD 25 milhões de resgate. E esta não era, de forma alguma, uma empresa grande”, afirma Whitmore.
Antes do WannaCry, a maioria dos líderes empresariais parecia ter uma atitude de que "isso não pode acontecer conosco", especialmente fora da área de saúde. Agora, quando mencionei o ransomware, as pessoas ouvem. Os líderes corporativos geralmente são os primeiros a falar sobre ransomware comigo e com outros especialistas em cibersegurança. Do meu ponto de vista, um dos impactos mais significativos do trauma e da destruição do WannaCry foi como a liderança empresarial percebeu que o ransomware era uma ameaça significativa.
O evento também teve um impacto profundo no papel da cibersegurança dentro de uma empresa e no papel do diretor de segurança da informação no conselho. A liderança agora percebe que você pode passar por uma grande violação cibernética e, na verdade, acabar melhor do ponto de vista reputacional.
Uma marca de logística sediada na UE mostra como sofreu poucos danos à reputação do WannaCry. O CEO assumiu um papel público e falou diretamente ao público e clientes nos dias após o ataque. A combinação do criptoworm e do CEO confiante e comunicativo foi um passo crítico em direção a uma cultura de cibersegurança empresarial de responsabilidade compartilhada.
Inúmeras imitações e réplicas vieram após o primeiro ataque do WannaCry. A ESET divulgou em maio de 2020 que o WannaCry foi responsável por 40,5% de todas as suas detecções de ransomware no primeiro trimestre de 2020. Alguns países ainda são desproporcionalmente afetados pelas réplicas do WannaCry porque os principais ISPs bloqueiam os domínios do kill switch. Algumas dessas infecções persistentes se devem a práticas inadequadas de higiene cibernética . Outras infecções persistem em endpoints não tradicionais que são difíceis para muitas empresas detectarem, quanto mais gerenciar.
É difícil dizer se as empresas estariam significativamente melhor preparadas para um ataque global de cryptoworm em 2020 do que em 2017. No entanto, a maioria dos especialistas com quem conversei concorda que o elemento humano da cibersegurança evoluiu drasticamente, o que deve dar esperança aos profissionais de resposta a incidentes.
No entanto, de acordo com a ESET, dados do mecanismo de busca Shodan revelaram que quase 1 milhão de dispositivos ainda estavam vulneráveis e sem correção em relação à vulnerabilidade EternalBlue em maio de 2019. Houve muito pouca variação nesse número desde o final de maio de 2017, o que é profundamente preocupante.
Uma pesquisa recente mostra que 27% das organizações globais atribuíram um incidente de violação de dados a vulnerabilidades não corrigidas. Mais preocupante é que uma enorme porcentagem tem pouca ideia de quais endpoints em sua rede estão representando riscos. Enquanto isso, 39% das organizações admitem realizar verificações de vulnerabilidades menos de uma vez por mês. De acordo com a CA Veracode, mais de 70% das vulnerabilidades permanecem sem correção após 30 dias.
O custo de recuperação de um ataque altamente destrutivo foi de US$ 239 milhões, ou 61 vezes mais caro do que um incidente médio envolvendo perda de dados.
Scott observou grandes mudanças positivas na forma como as organizações abordam os ambientes e os pontos de controle para evitar as condições de "concha dura" que permitiram que o worm se espalhasse tão rapidamente. Os clientes agora estão pensando em conteinerização e microsserviços, em vez de fornecer aos invasores o tipo de alvo de rede mole e pegajoso que era comum em 2017 e antes. Isso pode estar parcialmente ligado ao WannaCry, mas provavelmente também se deve ao fato de que os perímetros da rede corporativa mudaram.
Nas redes atuais, não é incomum encontrar muitos servidores que podem não ter acesso às estações de trabalho. Em vez disso, os usuários podem acessar dados em nuvem por meio de agentes. A nuvem segura adiciona um pouco de complexidade às políticas de segurança e complica alguns fluxos de trabalho, mas também melhorou a postura de segurança em muitos aspectos. O isolamento baseado na nuvem significa que as organizações não operam mais em uma grande rede.
O abandono das redes “candy” de antigamente também impactou os privilégios de usuários. Scott vê isso como um grande avanço na defesa contra ameaças persistentes avançadas (APTs) e contas privilegiadas. Mais importante ainda, muitas organizações estão adotando modelos de acesso baseados em confiança e necessidade, em vez de designar superusuários e reorganizar toda a arquitetura de privilégios.
No entanto, três anos após o worm WannaCry, o custo de recuperação de ransomware e APTs altamente direcionados está em alta. Isso é incrivelmente desconcertante. No ano passado, o custo médio de recuperação de uma violação de dados foi de US$ 3,92 milhões, de acordo com o Relatório do Custo das Violações de Dados de 2019. O custo de recuperação de um ataque altamente destrutivo foi de US$ 239 milhões, ou 61 vezes mais caro do que um incidente médio envolvendo perda de dados.
Os agentes da ameaça estão ficando mais ousados e mais calculados na hora de exigir exatamente a quantia de dinheiro que eles acham que os dados da vítima valem. O ransomware comercial em 2020 não tem como objetivo se espalhar como vírus pelas redes ou ter como alvo centenas de milhares de endpoints não corrigidos. Em vez disso, os agentes da ameaça têm como alvo empresas que provavelmente pagarão resgates de milhões.
Os agentes da ameaça se concentram nas vítimas para garantir que elas invadam todos os sistemas certos para criar um ambiente de terror, muitas vezes chegando até aos backups para tentar forçar a mão da vítima a pagar o resgate.
O aumento da colaboração tem sido um dos impactos mais positivos nos últimos três anos. O WannaCry pode ter sido uma espécie de catalisador de uma maior colaboração entre indústrias, o setor público e legisladores internacionais.
Conversei com Mike Barcomb, diretor de programa do X-Force Incident Command, para ouvir sua perspectiva sobre essa mudança.
"Tem sido o foco das empresas construir esses programas [de resposta a incidentes], mas também trabalhar junto com seus pares e outras empresas do setor", diz Barcomb. "Elas criam uma dinâmica em que podem compartilhar boas práticas e informações sobre agentes de ameaça — coisas que viram e experiências que tiveram.
“Elas criam uma dinâmica em que podem compartilhar boas práticas e informações sobre agentes de ameaças — coisas que viram e experiências que tiveram.”
“É muito encorajador ver empresas trabalhando juntas para fortalecer as defesas contra ameaças.”
O elemento humano de preparação é tão importante quanto a prontidão tecnológica para garantir a higiene cibernética adequada, diz Kurt Rohrbacher, líder da IBM X-Force Threat Intelligence na América do Norte. A melhor maneira de uma organização se preparar para qualquer incidente global é pensar no que acontece quando os controles falham e considerar o peso de cada decisão.
"As pessoas não costumam pensar em como as primeiras horas de um incidente podem determinar se você vai lidar com isso por um dia, uma semana, um mês ou, em alguns casos, um ano", diz Rohrbacher. "Identificar as etapas que você tomará logo no início do incidente será o sucesso ou fracasso da sua resposta final".
"Identificar as etapas que você tomará logo no início do incidente será o sucesso ou fracasso da sua resposta final".
Essa declaração realmente repercutiu em mim, porque muitas vezes subestimamos o impacto do estresse e do pânico em nossa tomada de decisão. Essas decisões aparentemente pequenas podem fazer a diferença entre milhões de dólares e anos de recuperação ou meses.
Scott me disse que isso lhe dá esperança de ver o início de uma mudança nos principais indicadores de desempenho (KPIs), que é uma área pela qual ele é particularmente apaixonado. Ele costuma perguntar à sua equipe "Como rastreamos e realmente incentivamos as pessoas a fazerem o trabalho corretamente?"
No caso de analistas de SOC, as métricas que se concentram na velocidade de resolução e nos prazos podem ser contraproducentes. Os analistas de SOC podem ser desviados se estiverem operando em um ambiente muito focado na eficiência. Eles podem fechar os chamados antes de concluir uma investigação e perder o panorama geral, como o ponto de infiltração de um ataque.
Os hábitos de higiene cibernética e aplicação de patches do setor podem não ter melhorado de forma mensurável desde maio de 2017, mas a maioria dos especialistas concorda que estaríamos mais bem preparados hoje do que antes, mesmo fora das organizações que já enfrentaram ataques de ransomware. Trata-se de uma mudança no elemento humano da cibersegurança.
Rohrbacher dá uma risada quando perguntado como as empresas e os profissionais de cibersegurança se preparam para o inesperado. Ele encolhe os ombros e diz: "Bem, não há nada como a coisa real."
Ele me disse que um incidente real, como o WannaCry, aumenta tanto a consciência quanto a preparação. Além disso, quase todos os especialistas em resposta a incidentes com quem conversei concordam que a simulação é crucial, assim como os exercícios teóricos trimestrais e os testes regulares de ferramentas de comunicação são cruciais para o desenvolvimento da memória muscular.
Ele apontou simulações de phishing e ambiente cibernético como duas maneiras pelas quais as organizações poderiam se preparar para resultados imprevistos. Rohrbacher diz que se um exercício ou simulacro realmente atrai as pessoas para a situação e as incentiva a se desfrutar, é mais provável que elas tenham suas próprias conclusões sobre como responder melhor.
Estou sempre impressionado com a semelhança entre a atual pandemia de COVID-19 e o ataque WannaCry. As primeiras horas do ataque foram muito semelhantes às de março de 2020, quando todos entraram em modo de crise tentando gerenciar uma situação nunca antes vista. Agora, à medida que a pandemia se estende, a sensação é semelhante a nós ainda encontramos infecções por WannaCry hoje. A pandemia provavelmente afeta a maioria de nós em um nível mais pessoal. Mas ambas as crises afetaram nossas vidas diárias de maneiras que ninguém poderia imaginar ou prever.
As principais lições de ambos os eventos se resumem à preparação. Tanto o WannaCry quanto a pandemia pegaram todos de surpresa. Isso levanta a velha questão de como se preparar para algo que nunca chegou perto de acontecer antes.
O que vem à mente da maioria das pessoas quando pensam em preparação são planos estratégicos, simulações, educação e uso de ferramentas, como backups para recuperação. No entanto, essas medidas só vão tão longe quando um novo ataque ocorre e não existe um plano para exatamente o que está acontecendo. Acho que na verdade se resume a adotar uma nova visão e abordagem.
"Quando você está no meio de uma crise, tudo, exceto a memória muscular, sai pela janela."
Algo que Rohrbacher diz continua vindo à mente: "Quando você está no meio de uma crise, tudo, exceto a memória muscular, sai pela janela."
Claro, precisamos ser capazes de implementar tecnologia e criar planos e opções de recuperação de backup. Mas também devemos nos concentrar em criar confiança e memória muscular para cada trabalhador de resposta a incidentes.
Confiança não é algo que acontece em uma única sessão de treinamento ou em um evento na tarde de quinta-feira. É uma mudança subjacente na cultura e nos processos. A preparação se resume a capacitar os indivíduos a se sentirem confiantes o suficiente para assumir o controle. Você quer que sua equipe respire fundo e diga: "OK, entendi", mesmo quando o inesperado acontece.
Jasmine Henry contribuiu para a reportagem desta história.