# WannaCry Campaign > [!critical] O primeiro worm ransomware global — 200.000 vítimas em 150 países em 72 horas > Em 12 de maio de 2017, o [[s0366-wannacry]] se propagou globalmente usando o exploit EternalBlue ([[cve-2017-0144|CVE-2017-0144]]) roubado da NSA, infectando mais de **200.000 sistemas em 150 países** em menos de 72 horas. O ataque ao NHS britânico (Serviço Nacional de Saúde) causou o cancelamento de 19.000 consultas e cirurgias. A campanha foi atribuída ao [[g0032-lazarus-group]] (Coreia do Norte). Um pesquisador britânico descobriu acidentalmente um "kill switch" no domínio registrado no código, interrompendo a propagação. ## Visão Geral A campanha WannaCry de maio de 2017 representa um marco histórico na evolução do ransomware: foi o primeiro caso de worm ransomware de escala verdadeiramente global, combinando um payload destrutivo de criptografia com capacidade de auto-propagação lateral via exploração do protocolo SMB. O exploit utilizado — EternalBlue ([[cve-2017-0144|CVE-2017-0144]]) — havia sido desenvolvido pela NSA americana e foi roubado e vazado pelo grupo Shadow Brokers em abril de 2017, apenas um mês antes do WannaCry. A Microsoft havia liberado patches (MS17-010) em março de 2017, mas a velocidade do WannaCry expôs a realidade de que milhões de sistemas globais não tinham sido patchados. O impacto setorial foi devastador e amplamente documentado. O NHS britânico foi o caso mais visível: hospitais não conseguiam acessar prontuários eletrônicos, exames de imagem e sistemas de triagem, forçando o desvio de ambulâncias e cancelamento massivo de procedimentos. A Telefónica na Espanha, FedEx, LATAM Airlines, Renault na França e dezenas de outras corporações globais também foram afetadas. Estima-se que o dano econômico total tenha superado US$ 4 bilhões — mas os resgates efetivamente coletados foram surpreendentemente baixos: menos de US$ 200.000, sugerindo que o objetivo principal era disruptivo, não financeiro, consistente com o padrão de ataques do [[g0032-lazarus-group]]. Para o Brasil, o impacto foi real: o Tribunal de Justiça de São Paulo, a Vivo e outras empresas brasileiras foram afetadas. O [[government|governo brasileiro]] emitiu alertas emergênciais e vários órgãos federais desligaram preventivamente sistemas SMB. O WannaCry continua relevante em 2024-2025 porque versões sem o "kill switch" ainda circulam e sistemas desatualizados com SMBv1 ativo permanecem vulneráveis — especialmente em ambientes industriais (OT/ICS) e equipamentos médicos legados. ## Attack Flow ```mermaid graph TB A["Varredura de Rede<br/>Port 445 SMB<br/>em escala massiva"] --> B["Exploração EternalBlue<br/>CVE-2017-0144<br/>SMBv1 sem patch MS17-010"] B --> C["DoublePulsar Backdoor<br/>Instalado como<br/>implante de kernel"] C --> D["WannaCry Payload<br/>Dropado e executado<br/>via DoublePulsar"] D --> E["Criptografia de Arquivos<br/>AES-128 por arquivo<br/>RSA-2048 para chave"] E --> F["Propagação Lateral<br/>Worm escaneia subnets<br/>e propaga automaticamente"] F --> G["Kill Switch<br/>Consulta domínio hardcoded<br/>paralisado se registrado"] ``` > **Atores:** [[g0032-lazarus-group]] | **Malware:** [[s0366-wannacry]] | **Exploit:** [[cve-2017-0144|CVE-2017-0144]] (EternalBlue + DoublePulsar) ## Cronologia ```mermaid timeline title WannaCry - Linha do Tempo Maio 2017 2017-04-14 : Shadow Brokers vaza EternalBlue e DoublePulsar da NSA 2017-05-12 : WannaCry inicia propagação às 07h44 UTC 2017-05-12 : NHS britânico começa a relatar sistemas comprometidos 2017-05-12 : Pesquisador Marcus Hutchins registra kill-switch domain por US$10 2017-05-12 : Kill switch registrado - propagação principal interrompida 2017-05-15 : Microsoft lança patch emergencial para XP e Server 2003 2017-05-19 : UK NCSC e EUA atribuem ataque à Coreia do Norte 2018-12 : EUA, UK e Australia atribuem formalmente ao Lazarus Group ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploitation of Remote Services | [[t1210-exploitation-of-remote-services\|T1210]] | EternalBlue exploitando CVE-2017-0144 no SMBv1 | | Lateral Movement via SMB | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Propagação automática via porta 445 | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia AES-128 + RSA-2048 de arquivos | | System Network Config Discovery | [[t1016-system-network-configuration-discovery\|T1016]] | Enumeração de redes para propagação lateral | | Kernel Module Load | [[t1547-006-kernel-modules\|T1547.006]] | DoublePulsar como backdoor de kernel | ## Relevância para Brasil e LATAM > [!latam] Impacto no Brasil - Sistemas Governamentais e Corporações > O WannaCry afetou diretamente o Brasil: o Tribunal de Justiça de São Paulo, a operadora Vivo e múltiplas empresas brasileiras relataram infecções. O Ministério da Saúde emitiu alerta preventivo para hospitais e clínicas que usavam Windows desatualizado. O incidente evidenciou a vulnerabilidade de equipamentos médicos legados — um problema persistente no sistema de saúde brasileiro onde tomógrafos, ultrassons e outros equipamentos com sistemas Windows XP embutidos permanecem sem suporte e sem patches disponíveis. O [[government|governo federal]] acelerou a migração de sistemas SMBv1 após o WannaCry. ## Mitigação - Desabilitar SMBv1 imediatamente em todos os sistemas Windows - Aplicar MS17-010 ou bloquear porta 445 externamente - Segmentar redes para limitar propagação lateral - Implementar [[m1049-antivirus-antimalware|M1049]] - detecção de comportamento de encriptação em massa - Manter backups offline — o WannaCry não exfiltra dados, apenas criptografa ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2017/05/12/customer-guidance-for-wannacrypt-attacks/) Microsoft Security Blog - Customer Guidance for WannaCrypt Attacks (2017) - [2](https://www.ncsc.gov.uk/news/joint-technical-analysis-wannacry) NCSC UK - WannaCry Ransomware Technical Analysis (2017) - [3](https://securelist.com/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/78351/) Kaspersky - WannaCry Ransomware Global Analysis (2017) - [4](https://attack.mitre.org/software/S0366/) MITRE ATT&CK - WannaCry (S0366) - [5](https://www.cert.br/docs/whitepapers/wannacry/) CERT.br - Alerta WannaCry Brasil (2017)