# WannaCry > [!danger] Primeiro ransomware-worm global - 300 mil vitimas em 150 paises em 72 horas > Em maio de 2017, o [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) lancou o WannaCry, o primeiro ransomware-worm de escala verdadeiramente global. Explorando o EternalBlue (MS17-010) - exploit da NSA vazado pelo Shadow Brokers - o malware se propagou automaticamente via SMBv1 sem qualquer interação do usuario, infectando sistemas do NHS britanico, hospitais brasileiros, Telefonica e dezenas de milhares de organizacoes em 150 paises. ## Visão Geral O **WannaCry** estabeleceu um antes e um depois na historia do ransomware: foi o primeiro a combinar um **exploit de propagação automatica** (worm) com **ransomware** em escala global. O [[g0032-lazarus-group|Lazarus Group]] utilizou o **EternalBlue** (MS17-010) - um exploit desenvolvido pela NSA americana para explorar vulnerabilidades no protocolo SMBv1 do Windows, depois vazado pelo grupo hacker Shadow Brokers em abril de 2017. Com o patch da Microsoft disponível desde marco de 2017, a devastacao do WannaCry foi um falha coletiva de gestao de patches em escala planetaria. Em menos de 72 horas, o WannaCry infectou mais de 300.000 sistemas em 150 paises, com impactos operacionais criticos: o **NHS britanico** teve hospitais paralisados, cirurgias canceladas e ambulancias redirecionadas (danos estimados em £92 milhões); a **Telefonica Espanha** teve seus sistemas internos comprometidos; empresas de telecomúnicacoes, producao industrial e governo foram atingidas globalmente. No Brasil, hospitais e sistemas de saúde foram entre os alvos confirmados, tornando o WannaCry a primeira demonstracao prática de risco cibernético a vidas humanas em larga escala nacional. Um kill switch acidental interrompeu a propagação: o pesquisador de segurança Marcus Hutchins (**MalwareTech**) registrou um dominio sem sentido que o malware verificava como anti-sandbox, efetivamente paralisando as infeccoes em andamento. Sem este kill switch, os danos seriam muito maiores. A campanha e a consequência direta do arsenal de exploits da NSA sendo exposto - um debaté sobre responsabilidade governamental em armas ciberneticas que persiste até hoje. Para o Brasil, o WannaCry continua relevante: sistemas Windows desatualizados, especialmente em saúde pública e governo municipal, permanecem vulneraveis ao EternalBlue. ## Attack Flow - WannaCry ```mermaid graph TB A["🎯 EternalBlue MS17-010<br/>SMBv1 porta 445"] --> B["🔓 Execução Remota<br/>Sem autenticação ou interação"] B --> C["🐛 Auto-propagação<br/>Varredura de IPs + redes locais"] C --> D["🔑 Kill Switch Verificado<br/>Domínio não registrado = ativo"] D --> E["🔒 Criptografia RSA-2048<br/>Arquivos criptografados AES-128"] E --> F["💸 Nota de Resgaté<br/>US$ 300-600 em Bitcoin"] F --> G["💀 Inibição de Recuperação<br/>Shadow copies deletadas (T1490)"] classDef initial fill:#3a1a2a,color:#ffaacc,stroke:#9b59b6 classDef spread fill:#1a2a3a,color:#aaccff,stroke:#2980b9 classDef impact fill:#3a1a1a,color:#ffaaaa,stroke:#e74c3c class A,B initial class C,D spread class E,F,G impact ``` ## Resumo Operacional O WannaCry combinou um exploit de rede (EternalBlue) com ransomware em um worm autopropagante - uma combinação sem precedentes em escala operacional. Uma vez que um sistema SMBv1 vulnerável era atingido, o malware se espalhava automaticamente para todos os sistemas vulneráveis alcançáveis na rede, sem interação humana. O ataque foi interrompido acidentalmente pelo pesquisador Marcus Hutchins, que registrou o domínio de kill switch codificado no malware por apenas US$ 10,69. ## Detalhes Técnicos ### Vetor de Exploração - EternalBlue (MS17-010) - **CVE:** MS17-010 (CVE-2017-0144) - buffer overflow no SMBv1 do Windows - **Origem:** Exploit desenvolvido pelo grupo Equation Group da NSA; vazado pelo Shadow Brokers em abril de 2017 - **Patch:** Microsoft havia emitido o patch em março de 2017 (MS17-010), mas sistemas desatualizados permaneceram vulneráveis - **Propagação:** Varredura automática de endereços IP via `GetAdaptersInfo()`; conexão SMB na porta 445; entrega de payload sem interação do usuário ### Fluxo de Execução 1. **Verificação do kill switch:** O malware verifica conectividade com domínio hardcoded (não registrado) - se o domínio responde, o malware encerra. Marcus Hutchins registrou o domínio em 12 mai 2017 às 15:03 UTC, interrompendo a propagação global. 2. **Exploração SMB:** Se o kill switch não responde, explora MS17-010 para infectar sistemas na rede local e IPs aleatórios na internet 3. **Descriptografia do payload:** DLLs criptografadas com AES-128-CBC (chave hardcoded) são extraídas e executadas 4. **Criptografia de arquivos:** RSA-2048 para chave de sessão + AES-128 para criptografia de arquivos; demanda resgaté de **US$300-600 em Bitcoin** 5. **C2 via Tor:** Comúnicação com servidores C2 via rede Tor 6. **Inibição de recuperação:** Exclusão de shadow copies, desabilitação de backups do Windows (`T1490`) ### Fraqueza de Implementação Uma falha na limpeza de memória durante o processo de criptografia deixava números primos usados na geração de chaves RSA recuperáveis da RAM antes de reinicialização. Isso permitiu que pesquisadores desenvolvessem ferramentas de descriptografia (como WannaKey/WanaKiwi) que recuperavam arquivos sem pagamento - em sistemas que não foram reinicializados após a infecção. ## Impacto ### Global | Métrica | Dados | |---------|-------| | **Sistemas infectados** | >300.000 (estimativas variam 200k-300k) | | **Países afetados** | 150 | | **Resgaté total pago** | ~52,2 BTC (~US$130.000-143.000 na época; ~US$3,4M valor atual) | | **Danos estimados** | Centenas de milhões a bilhões de dólares | | **Duração** | Iniciado 07:44 UTC, 12 mai; propagação interrompida ~15:03 UTC pelo kill switch | ### NHS (Sistema de Saúde do Reino Unido) - Maior Vítima O NHS britânico foi o caso mais emblemático e consequente: - **81 de 236 trusts** do NHS Inglaterra afetados (34%), mais 595 clínicas de aténção primária e 603 outras instalações - **19.000+ consultas canceladas** (6.912 rastreadas oficialmente) - **~70.000 dispositivos** potencialmente afetados (PCs, equipamentos de ressonância magnética, geladeiras de laboratório) - **Ambulâncias desviadas** em 5 regiões (Londres, Essex e outras) - **Custo total: £92 milhões** (£20M em serviços perdidos + £72M em recuperação de TI) - **Nenhum dado de paciente foi roubado** e nenhum resgaté foi pago pelo NHS - Investigação do National Audit Office (NAO) revelou que **avisos prévios do NCSC sobre vulnerabilidade SMB foram ignorados** ### Brasil O WannaCry impactou **hospitais, sistemas governamentais e empresas de telecomúnicações** brasileiras em maio de 2017. O Tribunal de Justiça de São Paulo e a Vivo (Telefônica Brasil) foram afetados. O incidente acelerou discussões sobre política de cibersegurança para infraestrutura crítica nacional. ### Organizações Globais - **Telefónica** (Espanha) - sistemas internos comprometidos - **Deutsche Bahn** (Alemanha) - painéis de informação de passageiros - **Renault-Nissan** - linhas de montagem interrompidas - **FedEx** - operações de subsidiária TNT afetadas por meses ## Atribuição A atribuição ao [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) foi estabelecida por múltiplas fontes independentes: - **Reutilização de código:** Strings e funções idênticas a malware anterior do Lazarus (Contopee, WannaCry beta de 2017) - **Kaspersky, Symantec, Google:** Análise técnica independente confirmando sobreposições de código - **Fluxo de Bitcoin:** Elliptic e Chainalysis rastrearam resgates pagos convertidos para Monero via exchanges sem KYC - **Atribuição governamental:** EUA, Reino Unido, Austrália e Canadá atribuíram formalmente à Coreia do Norte em dezembro de 2017 ## Legado e Lições - **Legado:** Variantes sem kill switch persistem em sistemas legados; EternalBlue foi reutilizado no [[s0368-notpetya]] semanas depois; WannaCry ainda infecta sistemas desatualizados atualmente - **Lições:** Importância crítica de patching rápido; necessidade de segmentação de rede; perigo de ferramentas de exploração da NSA em circulação; primeira demonstração clara de que ransomware pode matar - literalmente, ao impactar sistemas hospitalares - **Mudança política:** Microsoft emitiu patches emergênciais para Windows XP e Server 2003 (fora de suporte), reconhecendo responsabilidade compartilhada pelo ecossistema - [[g0032-lazarus-group|Lazarus Group]] - [[s0368-notpetya]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1190-exploit-public-facing-application|T1210 - Exploitation of Remote Services]] - [[healthcare|saúde]] - [[government]] - [[critical-infrastructure]] ## Relevância para o Brasil e LATAM O WannaCry atingiu diretamente o Brasil em maio de 2017, comprometendo hospitais, sistemas do Tribunal de Justiça de São Paulo e redes corporativas da Vivo (Telefônica Brasil). O incidente expôs a fragilidade da gestão de patches em organizações brasileiras: o exploit EternalBlue explorava uma vulnerabilidade (MS17-010) para a qual a Microsoft havia lançado patch dois meses antes, em março de 2017. Organizações que não aplicaram o patch a tempo sofreram consequências operacionais severas. O setor de saúde foi particularmente vulnerável, com sistemas hospitalares utilizando Windows XP e versões legadas de software médico. Para a América Latina como um todo, o WannaCry demonstrou que a combinação de baixa adoção de patches de segurança, alta prevalência de software sem licença (especialmente Windows XP não suportado), e conectividade SMB expostos na internet criava uma superfície de ataque extraordinariamente ampla. Países como México, Argentina e Colômbia também registraram infecções significativas, principalmente em infraestrutura governamental e serviços de saúde. O EternalBlue continuou a ser explorado ativamente por anos após o WannaCry em ataques direcionados a organizações LATAM - incluindo a segunda onda de ataques via NotPetya. Lições que permanecem relevantes para o Brasil: (1) gestão rigorosa de patches com SLA máximo de 72 horas para vulnerabilidades críticas; (2) desabilitar SMBv1 em toda a infraestrutura - protocolos obsoletos não têm lugar em redes corporativas modernas; (3) segmentação de rede para impedir propagação lateral de worms; (4) backup offline imune a ransomware testado regularmente. O CERT.br mantém alertas históricos sobre MS17-010 como referência para análise de incidentes. ## Referências - National Audit Office (NAO): "Investigation: WannaCry Cyber Attack and the NHS" (Outubro 2017) - CISA/NCSC/FBI: WannaCry Attribution Advisory (Dezembro 2017) - Kaspersky: WannaCry Ransomware - Technical Analysis - Wikipedia: WannaCry ransomware attack - dados verificados de múltiplas fontes