# WannaCry - Ransomware Global (Maio 2017) > [!danger] Primeiro Worm-Ransomware Global > Em 12 de maio de 2017, o [[g0032-lazarus-group]] deflagrou o maior ataque de ransomware da história até aquele momento: **WannaCry** infectou 200.000+ sistemas em 150 países em menos de 24 horas, explorando o exploit [[cve-2017-0144|CVE-2017-0144]] (EternalBlue) vazado do arsenal da NSA. O NHS britânico teve serviços hospitalares paralisados. Danos estimados em US$ 4 bilhões. --- ## Attack Flow ```mermaid graph TB A["🔓 EternalBlue<br/>CVE-2017-0144 - SMBv1<br/>Port 445"] --> B["💻 DoublePulsar<br/>Backdoor kernel implantado<br/>via exploit NSA"] B --> C["📦 WannaCry Dropper<br/>Payload descomprimido<br/>e executado em memória"] C --> D["🔍 Varredura de Rede<br/>Propagação automática<br/>IP ranges aleatórios"] D --> E["🔐 Criptografia<br/>RSA-2048 + AES-128<br/>Extensão .WNCRY"] E --> F["💰 Demanda de Resgaté<br/>US$ 300-600 em Bitcoin<br/>3 carteiras identificadas"] D --> G["🌐 Propagação Global<br/>150 países - 24 horas<br/>Worm autorreplicante"] G --> D C --> H["🛑 Kill Switch<br/>iuqerfsodp9ifjapósdfjhgosurijfaewrwergwea.com<br/>Registro por Marcus Hutchins interrompe"] ``` --- ## Contexto e Origem O WannaCry representa um marco histórico na cibersegurança: foi o primeiro ataque global de ransomware com **capacidade de worm autorreplicante**, combinando dois elementos devastadores - o exploit EternalBlue desenvolvido pela [[nsa]] e roubado pelo grupo Shadow Brokers, e uma rotina de propagação autônoma via SMBv1. A Microsoft havia lançado o patch [[ms17-010]] em março de 2017 - 7 semanas antes do ataque - mas milhões de sistemas continuavam sem atualização. O componente de propagação lateral dispensava qualquer interação do usuário: o WannaCry varria automaticamente ranges de IP em busca de sistemas Windows com a porta 445/TCP aberta e explorava o SMBv1 sem necessidade de phishing ou engenharia social. Esse vetor de infecção zero-click transformou o ataque em epidemia em questão de horas. Hospitais do [[nhs-uk]] tiveram que cancelar cirurgias e redirecionar ambulâncias. A Nissan, Telefónica, Deutsche Bahn e dezenas de governos interromperam operações. A atribuição ao [[g0032-lazarus-group]] (Coreia do Norte) foi formalizada pelo governo dos EUA em dezembro de 2017 e respaldada por múltiplas análises de código: sobreposição com famílias de malware anteriores do Lazarus ([[contopee]], [[joanap]]), uso de infraestrutura compartilhada e padrões de obfuscação idênticos. Analistas da Symantec e Google identificaram a sobreposição antes mesmo da atribuição oficial. --- ## Kill Switch e Contenção Marcus Hutchins (MalwareTech), pesquisador britânico de 22 anos, identificou uma verificação de domínio no código do WannaCry: o malware consultava um domínio não registrado antes de executar a criptografia - presumivelmente um mecanismo de sandbox detection. Hutchins registrou o domínio por US$ 10,69 e ativou involuntariamente o kill switch global, interrompendo novas infecções. Esse gesto **salvou sistemas em escala planetária**. O kill switch, no entanto, não descriptografou sistemas já infectados. Variantes sem o kill switch continuaram circulando por semanas. A [[cisa]] e o [[ncsc-uk]] emitiram alertas coordenados. A Microsoft tomou a medida excepcional de lançar patches de emergência para Windows XP, Windows Server 2003 e Windows 8 - sistemas fora de suporte há anos, mas amplamente presentes em infraestrutura crítica. --- ## Impacto no Brasil e LATAM O Brasil foi afetado de forma significativa: empresas de Telecom, órgãos federais e hospitais públicos reportaram infecções. O [[cert-br]] emitiu alerta prioritário e registrou pico de consultas sobre o CVE-2017-0144. O ataque acelerou campanhas de patch management em organizações brasileiras e evidenciou a dependência persistente de sistemas Windows legados em infraestrutura pública nacional. Na LATAM, Petrobrás, Vivo e órgãos do governo federal foram citados em relatórios de incidentes. A [[anatel]] orientou ISPs a bloquear tráfego na porta 445/TCP como medida emergêncial de contenção. --- ## Legado e Lições O WannaCry gerou consequências duradouras para a cibersegurança global: - Acelerou apósentadoria do protocolo **SMBv1** em ambientes corporativos - Reforçou urgência de políticas de **patch management** estruturado - Impulsionou regulamentação de segurança em saúde digital (NHS modernization) - Evidenciou riscos do **acúmulo de vulnerabilidades** por agências de inteligência (Vault 7 / Shadow Brokers) - Precedente para **atribuição pública** de ataques a Estados-nação --- ## Indicadores Técnicos | Indicador | Valor | |-----------|-------| | CVE explorado | [[cve-2017-0144\|CVE-2017-0144]] (EternalBlue) | | Protocolo alvo | SMBv1 - Porta 445/TCP | | Criptografia | RSA-2048 + AES-128-CBC | | Extensão gerada | `.WNCRY` | | Kill switch | `iuqerfsodp9ifjapósdfjhgosurijfaewrwergwea.com` | | Carteiras Bitcoin | 3 endereços hardcoded | | Resgaté exigido | US$ 300–600 em BTC | | Patch disponível | [[ms17-010]] - lançado 14/03/2017 | --- ## Referências e Contexto CTI | Elemento | Ligação | |----------|---------| | Threat Actor | [[g0032-lazarus-group]] - Coreia do Norte | | Exploit | EternalBlue - [[cve-2017-0144\|CVE-2017-0144]] | | Backdoor | DoublePulsar - NSA / Shadow Brokers | | Patch | [[ms17-010]] - Microsoft Security Bulletin | | Evento paralelo | [[2017-06-notpetya]] - 6 semanas depois | | Grupo relacionado | [[g0082-apt38]] - ala financeira do Lazarus | | Técnicas MITRE | [[T1210]] Exploitation of Remote Services | --- > [!info] Navegação - Eventos Relacionados > [[2017-06-notpetya]] | [[2020-12-solarwinds-supply-chain]] | [[g0032-lazarus-group]] | [[cve-2017-0144|CVE-2017-0144]] | [[_timeline]]