# WannaCry - Ataque Global 2017 > [!info] Visão Geral > **WannaCry** foi um ataque de ransomware worm de escala global deflagrado em 12 de maio de 2017, atingindo mais de **230.000 sistemas** em **150 paises** em menos de 24 horas. O malware explorou a vulnerabilidade [[cve-2017-0144|CVE-2017-0144]] no protocolo SMBv1 do Windows, usando o exploit [[eternalblue]] vazado do arsenal da NSA e o backdoor [[doublepulsar]] para propagação automatizada. O ataque foi atribuido ao grupo norte-coreano [[g0032-lazarus-group]] pelos governos dos EUA, Reino Unido e Australia. O NHS britanico foi o setor de saúde mais afetado, com hospitais cancelando cirurgias e consultas. Prejuizos estimados: USD 4-8 bilhoes globalmente. ## Visão Geral O WannaCry representou um ponto de inflexão na história da segurança cibernética: o primeiro worm-ransomware de propagação autônoma a causar danos em escala verdadeiramente global em questão de horas. Em 12 de maio de 2017, ao explorar o [[cve-2017-0144|CVE-2017-0144]] no protocolo SMBv1 do Windows — vulnerabilidade desenvolvida pela NSA como arma cibernética e vazada pelo grupo Shadow Brokers um mês antes — o malware se propagou de forma completamente automatizada, sem necessidade de interação humana. O [[g0032-lazarus-group]], braço cibernético da Coreia do Norte, utilizou o [[eternalblue]] e o [[doublepulsar]] como componentes de infraestrutura para um ataque cujo impacto financeiro ultrapassou USD 4 bilhões. A escala e a velocidade do WannaCry expuseram uma falha estrutural que transcende fronteiras geográficas: a persistência de sistemas operacionais sem suporte em infraestruturas críticas. O NHS britânico — com sua dependência massiva de Windows XP em hospitais — tornou-se o exemplo mais visível dessa vulnerabilidade sistêmica, com 80 de 236 hospitais incapacitados e 19.000 consultas canceladas. A lição, dolorosa e cara, foi que o débito técnico acumulado em ambientes de saúde, governo e manufatura pode ser explorado como arma por atores estatais. Para o Brasil e a América Latina, o WannaCry foi um alerta sobre a precariedade da infraestrutura digital em instituições públicas. O [[government|Tribunal de Justiça de São Paulo]] e órgãos do governo federal brasileiros foram afetados, revelando a prevalência de Windows XP e sistemas legados em redes governamentais. O setor de [[financial|saúde pública]] e empresas como a [[telecommunications|Vivo/Telefônica Brasil]] também registraram impactos, evidênciando que subsidiárias de multinacionais globais são tão vulneráveis quanto suas matrizes. > [!latam] Impacto no Brasil e América Latina > O WannaCry afetou diretamente o Brasil, com o Tribunal de Justiça de São Paulo, INSS e hospitais públicos entre as vítimas confirmadas. A Vivo/Telefônica Brasil foi impactada como subsidiária da Telefônica global. O evento evidenciou problemas estruturais críticos: predominância de sistemas legados Windows XP em instituições públicas brasileiras, ausência de segmentação de rede e falta de planos maduros de resposta a incidentes. O WannaCry acelerou as discussões que levaram às normas do **Banco Central** sobre continuidade operacional e contribuiu para o debate que culminou na **LGPD**. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Scan de portas SMB 445<br/>via internet"] --> B["Exploração<br/>CVE-2017-0144<br/>EternalBlue + DoublePulsar"] B --> C["Instalacao<br/>WannaCry dropper<br/>via backdoor DOUBLEPULSAR"] C --> D["Propagação<br/>Worm auto-replicante<br/>LAN + internet"] D --> E["Criptografia<br/>AES-128 por arquivo<br/>RSA-2048 para chave"] E --> F["Extorsao<br/>Resgaté USD 300-600<br/>em Bitcoin"] F --> G["Kill Switch<br/>Dominio nao registrado<br/>ativado em 15 mai 2017"] ``` > **Atores:** [[g0032-lazarus-group]] | **Malware:** [[wannacry]], [[eternalblue]], [[doublepulsar]] | **CVE:** [[cve-2017-0144|CVE-2017-0144]] ## Cronologia ```mermaid timeline title WannaCry - Linha do Tempo 2017 2017-04-14 : Shadow Brokers vazam EternalBlue e DoublePulsar da NSA 2017-05-12 : Inicio do ataque - 09h00 UTC - primeiros sistemas comprometidos 2017-05-12 : NHS britanico declarou emergencia - hospitais offline 2017-05-12 : Telefonica Espanha e Renault Franca afetadas 2017-05-13 : Marcus Hutchins ativa kill switch - propagação interrompida 2017-05-14 : Microsoft lanca patch emergencial para XP-2003 2017-05-15 : Ataque estabilizado - contagem final 230k sistemas 2017-12-19 : EUA atribuem oficialmente a Coreia do Norte ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do CVE-2017-0144 via SMBv1 | | Exploitation of Remote Services | [[t1210-exploitation-of-remote-services\|T1210]] | Propagação worm via EternalBlue em LAN | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia AES-128 + RSA-2048 dos arquivos | | Service Stop | [[t1489-service-stop\|T1489]] | Parada de servicos de backup e banco de dados | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Exclusao de shadow copies do Windows | | File and Directory Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos para criptografar | ## Vitimas e Impacto O WannaCry afetou organizacoes em todos os setores criticos: **Setor de Saúde:** - NHS (Reino Unido) - 80 de 236 hospitais impactados, 19.000 consultas canceladas, cirurgias adiadas - Hospitais na Alemanha, Espanha e Portugal também afetados **Industria e Telecomúnicacoes:** - [[telecommunications|Telefonica]] (Espanha) - sistemas internos comprometidos - Renault (Franca) - fabricas interrompidas, linha em Sandouville paralisada - Deutsche Bahn (Alemanha) - paineis de informação nas estacoes afetados - FedEx (EUA) - operações logisticas parcialmente interrompidas **Governo e Infraestrutura:** - Ministerio do Interior da Russia - 1.000 computadores afetados - Sistemas de telecomúnicacoes da China - terminais PetroChinA e semaforos urbanos - Entidades governamentais na India, Indonesia e Ucrania **Impacto financeiro:** - USD 4-8 bilhoes globalmente (estimativa Cybereason e Lloyd's) - NHS: GBP 92 milhões em custos diretos (relatorio oficial UK) - Apenas ~USD 140.000 pagos em resgates - descriptografia era buggada ## Relevância LATAM e Brasil O impacto no Brasil foi expressivo, especialmente em entidades públicas: - [[government|Tribunal de Justica de Sao Paulo]] e outras entidades públicas afetadas - [[telecommunications|Vivo/Telefonica Brasil]] - sistemas internos impactados como subsidiaria da Telefonica global - INSS e hospitais públicos reportaram contaminacoes - Empresas do [[financial|setor financeiro]] ativaram planos de contingencia preventivos O Brasil revelou problemas estruturais de segurança: predominancia de sistemas legados Windows XP em hospitais públicos e orgaos governamentais, falta de segmentacao de rede, e ausência de planos de resposta a incidentes maduros. O evento contribuiu para acelerar discussoes sobre o que viria a ser a [[lgpd|LGPD]] e para normas do [[bacen|Banco Central]] sobre continuidade operacional em [[financial|instituicoes financeiras]]. ## Mitigação **Acoes imediatas:** - Isolar sistemas afetados da rede imediatamente - Bloquear porta TCP 445 (SMB) no perimetro e internamente - Desabilitar SMBv1 em todos os sistemas Windows - Aplicar patch MS17-010 (disponível desde marco de 2017) **Acoes de longo prazo:** - Aplicar [[m1051-update-software|M1051]] - manter sistemas atualizados, eliminar sistemas legados sem suporte - Implementar [[m1030-network-segmentation|M1030]] - segmentacao de rede para limitar propagação worm - Implantar [[m1053-software-and-data-integrity|M1053]] - soluções de backup offline e imutavel (regra 3-2-1) - Monitorar via [[ds-0029-network-traffic|DS-0029]] - trafego anomalo na porta 445 ## Referências - [1](https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html) MalwareTech - How to Accidentally Stop a Global Cyber Attack (2017) - [2](https://www.ncsc.gov.uk/news/wannacry-ransomware-guidance) NCSC UK - WannaCry Ransomware Guidance (2017) - [3](https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and) DOJ EUA - North Korean Programmer Charged (2018) - [4](https://securelist.com/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/78351/) Kaspersky Securelist - WannaCry Analysis (2017) - [5](https://unit42.paloaltonetworks.com/unit42-wannacry-ransomware/) Unit 42 - WannaCry Technical Analysis (2017) - [6](https://blog.talosintelligence.com/2017/05/wannacry.html) Talos Intelligence - WannaCry Threat Investigation (2017) - [7](https://www.welivesecurity.com/2017/05/13/wannacryptor-ransomware-attack-worldwide/) ESET WeLiveSecurity - WannaCryptor Attack Worldwide (2017)