# WannaCry Ransomware
> Tipo: **ransomware com worm** - S0366 - [MITRE ATT&CK](https://attack.mitre.org/software/S0366)
> [!danger] O Primeiro Ransomware a Paralisar Infraestrutura Nacional - 150 Paises em 2017
> O WannaCry foi o primeiro ataque de ransomware com capacidade worm a atingir escala global, infectando mais de 230.000 sistemas em 150 paises em apenas 72 horas em maio de 2017. Usado o exploit EternalBlue da NSA vazado pelo Shadow Brokers, foi atribuido públicamente ao [[g0032-lazarus-group|Lazarus Group]] da Coreia do Norte. O NHS britanico, a Telefonica espanhola e a Renault francesa estao entre as vitimas mais notaveis.
## Visão Geral
[[s0366-wannacry-ransomware|WannaCry]] (também conhecido como WannaCrypt, WanaCrypt0r e WCRY) e um ransomware-worm identificado pela primeira vez em 12 de maio de 2017 em um ataque global sem precedentes. Ao contrario de ransomwares tradicionais que dependem de phishing para cada vitima, o WannaCry se autopropagava explorando a vulnerabilidade **CVE-2017-0144 (EternalBlue)** no protocolo SMBv1 do Windows - um exploit vazado da NSA pelo grupo Shadow Brokers em abril de 2017.
O WannaCry e rastreado pelo MITRE como **S0366** e foi **atribuido públicamente ao [[g0032-lazarus-group|Lazarus Group]]** norte-coreano pelos governos dos EUA, Reino Unido, Australia e Canada em dezembro de 2017 - uma das atribuicoes públicas mais raras de ataque cibernetico a um Estado específico.
A propagação foi contida parcialmente quando o pesquisador Marcus Hutchins descobriu um **kill switch** oculto no código: o WannaCry verificava se um dominio específico estava registrado antes de executar. Registrar o dominio `iuqerfsodp9ifjapósdfjhgosurijfaewrwergwea.com` interrompeu a propagação em cerca de 6 horas. Mesmo assim, estima-se que o prejuizo global superou **USD 4 bilhoes**.
**Plataformas:** Windows (especialmente XP, 7, Server 2003/2008 sem patch MS17-010)
## Como Funciona
O WannaCry opera como um hibrido ransomware-worm com dois componentes distintos:
1. **Scanner de rede:** O componente worm varre continuamente intervalos de IPs aleatorios e redes locais em busca de portas 445 (SMB) abertas ([[t1018-remote-system-discovery|T1018]] + [[t1016-system-network-configuration-discovery|T1016]])
2. **Exploração EternalBlue:** Ao encontrar um sistema vulnerável, executa o exploit SMBv1 CVE-2017-0144 para acesso inicial remoto sem autenticação ([[t1210-exploitation-of-remote-services|T1210]])
3. **Instalacao do backdoor DOUBLEPULSAR:** Após a exploração, instala o backdoor DOUBLEPULSAR (também da NSA/Shadow Brokers) para execução persistente de código
4. **Carregamento do ransomware:** Carrega o componente ransomware via DOUBLEPULSAR, que usa escalada de privilegios para obter SYSTEM
5. **Criptografia AES-128:** Criptografa arquivos com AES-128, criptografa a chave AES com RSA-2048, acrescenta extensao `.WCRY` e exibe nota de resgaté pedindo USD 300-600 em Bitcoin ([[t1486-data-encrypted-for-impact|T1486]])
6. **Delecao de shadows:** Remove shadow copies para impedir recuperacao ([[t1490-inhibit-system-recovery|T1490]]) e para servicos de banco de dados e backup ([[t1489-service-stop|T1489]])
```mermaid
graph TB
A["Scanner de rede<br/>Porta 445 aberta<br/>T1018 + T1016"] --> B["EternalBlue<br/>CVE-2017-0144 SMBv1<br/>T1210 - Sem autenticação"]
B --> C["DOUBLEPULSAR<br/>Backdoor instalado<br/>Execução de kernel"]
C --> D["WannaCry carregado<br/>Escalada SYSTEM<br/>Kill switch check"]
D --> E["Criptografia AES-128<br/>Extensao .WCRY<br/>T1486 - Nota Bitcoin"]
E --> F["Shadow copies deletadas<br/>Servicos parados T1489<br/>T1490 - Sem recuperacao"]
F --> G["Propagação worm<br/>Scanner reinicia<br/>Cada vitima infecta mais"]
classDef scan fill:#e67e22,color:#fff
classDef exploit fill:#e74c3c,color:#fff
classDef backdoor fill:#8e44ad,color:#fff
classDef install fill:#2980b9,color:#fff
classDef encrypt fill:#2c3e50,color:#fff
classDef worm fill:#c0392b,color:#fff
class A scan
class B exploit
class C backdoor
class D install
class E,F encrypt
class G worm
```
## Timeline
```mermaid
timeline
title WannaCry - Historico
Abr 2017 : Shadow Brokers vaza EternalBlue da NSA
: Patch MS17-010 disponível pela Microsoft
12 Mai 2017 : WannaCry deflagra - 230k sistemas em 72h
: NHS britanico, Telefonica, Renault atingidos
12 Mai 2017 : Marcus Hutchins registra kill switch
: Propagação interrompida parcialmente
Jun 2017 : NotPetya reutiliza EternalBlue com maior destruicao
Dez 2017 : EUA, UK, AU, CA atribuem a Lazarus Group/DPRK
2018-2025 : Sistemas desatualizados ainda reportam WannaCry
: Prejuizo estimado USD 4 bilhoes
```
## Técnicas Utilizadas
| Tática | ID | Técnica |
|--------|-----|---------|
| Initial Access / LM | [[t1210-exploitation-of-remote-services\|T1210]] | EternalBlue CVE-2017-0144 SMBv1 |
| Lateral Movement | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | Propagação via SMB |
| Discovery | [[t1018-remote-system-discovery\|T1018]] | Varredura de IPs em busca de porta 445 |
| Discovery | [[t1016-system-network-configuration-discovery\|T1016]] | Descoberta de configuração de rede |
| Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativacao de processos de segurança |
| Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia AES-128 + RSA-2048 |
| Impact | [[t1489-service-stop\|T1489]] | Para servicos de banco de dados e backup |
| Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deleta shadow copies via vssadmin |
## Relevância LATAM/Brasil
O [[s0366-wannacry-ransomware|WannaCry]] teve impacto documentado no Brasil em maio de 2017. O CERT.br emitiu alerta de emergência e organizacoes como a **Vivo/Telefonica Brasil** reportaram deteccoes. O setor de [[healthcare|saúde]] brasileiro - com alta prevalencia de sistemas Windows legados desatualizados (XP, 7) em equipamentos medicos - foi particularmente vulnerável.
O legado do WannaCry e duradouro: a vulnerabilidade EternalBlue ainda e explorada por malwares como [[s0502-dirtymoe|DirtyMoe]] e outras familias. O fato de que muitos equipamentos medicos e industriais no Brasil ainda rodam Windows legados (por custo de atualização ou certificacao regulatoria) mantem o vetor SMBv1 relevante. O [[g0032-lazarus-group|Lazarus Group]] - seu operador - continua ativo com campanhas financeiras na América Latina.
**Setores historicamente impactados:** [[healthcare|saúde]] - [[government|governo]] - [[technology|tecnologia]] - [[manufacturing|manufatura]]
## Detecção
- Monitorar trafego SMB (porta 445) para varredura massiva de IPs internos e externos - padrao tipico do worm
- Detectar criação de arquivos `@
[email protected]` e `tasksche.exe` em diretorios temporarios
- Alertar para execução de `vssadmin delete shadows` ou `wbadmin delete catalog` por processos nao-administrativos
- Bloquear SMBv1 em todos os sistemas - o protocolo esta deprecado e nao deve estar ativo
```sigma
title: WannaCry Ransomware SMB Lateral Movement Detection
status: stable
logsource:
category: network_connection
product: windows
detection:
selection:
DestinationPort: 445
Initiated: 'true'
filter_known_servers:
SourceIp|startswith:
- '10.'
- '192.168.'
condition: selection and filter_known_servers
level: medium
tags:
- attack.lateral_movement
- attack.t1021.002
- attack.t1210
- code/distill
```
## Referências
- [1](https://attack.mitre.org/software/S0366) MITRE ATT&CK - S0366 WannaCry (2024)
- [2](https://www.cisa.gov/news-events/alerts/2017/05/12/indicators-associated-wannacry-ransomware) CISA - Indicators Associated with WannaCry Ransomware (2017)
- [3](https://reliaquest.com/blog/mapping-mitre-attck-to-the-wannacry-campaign/) ReliaQuest - Mapping MITRE ATT&CK to WannaCry Campaign
- [4](https://www.cloudflare.com/learning/security/ransomware/wannacry-ransomware/) Cloudflare - What was the WannaCry Ransomware Attack?
- [5](https://en.wikipedia.org/wiki/WannaCry_ransomware_attack) Wikipedia - WannaCry Ransomware Attack (Referências técnicas verificadas)