# WannaCry
> [!critical] Ransomware-Worm com EternalBlue - 300k Máquinas em 150 Países em Horas
> WannaCry é um dos ciberataques mais impactantes da história, infectando mais de **300.000 computadores em 150 países** em questão de horas em 12 de maio de 2017. Atribuído ao [[g0032-lazarus-group|Lazarus Group]] da Coreia do Norte, combina funcionalidade de ransomware com autopropagação via exploit **EternalBlue** (CVE-2017-0144) do protocolo SMBv1 - sem requerer interação do usuário. O ataque foi contido por Marcus Hutchins ao registrar o domínio de kill switch por US$10,69.
## Visão Geral
WannaCry (MITRE S0366, também conhecido como WanaCrypt0r, WCry ou Nyetya) é um ransomware-worm que se tornou um dos ataques cibernéticos mais impactantes da história, infectando mais de 300.000 computadores em mais de 150 países em questão de horas em 12 de maio de 2017. Atribuído ao [[g0032-lazarus-group|Lazarus Group]] da Coreia do Norte - com atribuição formal pelos EUA e Reino Unido em dezembro de 2017 -, o WannaCry combina funcionalidade de ransomware com autopropagação via exploit **EternalBlue** ([[cve-2017-0144|CVE-2017-0144]]) do protocolo SMBv1.
O EternalBlue foi desenvolvido pela NSA americana como ciberarma e roubado pelo grupo Shadow Brokers, que o públicou em abril de 2017 - apenas um mês antes do ataque. A Microsoft havia lançado o patch MS17-010 em março de 2017, mas a maioria das organizações vitimadas não o havia aplicado. O WannaCry não se propagou por e-mail de phishing: a infecção inicial ocorreu por sistemas com porta 445 (SMB) exposta na internet. Uma vez dentro de uma rede, o worm usava EternalBlue e DoublePulsar (backdoor da NSA) para se propagar lateralmente a todas as máquinas vulneráveis sem qualquer interação de usuário.
O impacto global foi catastrófico: o NHS britânico teve 70.000 dispositivos afetados - incluindo equipamentos médicos de MRI e refrigeradores de amostras - obrigando redirecionamento de ambulâncias; a Telefónica espanhola foi gravemente afetada; a Deutsche Bahn exibiu mensagens de resgate em painéis de passageiros. O custo total estimado varia entre US$4 bilhões e US$8 bilhões. O ataque foi contido por Marcus Hutchins, pesquisador britânico que descobriu um kill switch embutido no código: o WannaCry verificava se um domínio específico estava registrado antes de criptografar - ao registrar o domínio por US$10,69, Hutchins parou a propagação em questão de horas. Versões subsequentes sem kill switch continuam em circulação.
O WannaCry é técnicamente notável por três razões: foi o primeiro uso em larga escala de um exploit desenvolvido por uma agência de inteligência nacional (NSA) por um grupo patrocinado por Estado estrangeiro; demonstrou que ransomware pode causar danos à infraestrutura crítica mesmo sem ser um wiper; e ilustrou como vulnerabilidades não corrigidas em sistemas legados - especialmente em setores como saúde e governo - criam vulnerabilidade sistêmica.
| Campo | Detalhe |
|-------|---------|
| **Tipo** | Ransomware-Worm (cryptoworm) |
| **Linguagem** | C++ |
| **Data do ataque** | 12 de maio de 2017 |
| **Status** | Ativo (variantes sem kill switch ainda em circulação) |
| **MITRE ID** | S0366 |
| **Plataformas** | Windows |
| **Alcance** | 300.000+ máquinas, 150+ países |
## Como Funciona
**Componente Worm:** Escaneia continuamente endereços IP aleatórios na internet (porta 445) e a rede local. Usa EternalBlue para explorar [[cve-2017-0144|CVE-2017-0144]] no SMBv1 e obter execução remota de código. Instala DoublePulsar como backdoor no sistema comprometido, depois copia e executa a si mesmo. Cria 128 threads de escaneamento para propagação em rede local e dois threads de escaneamento de internet aleatório.
**Kill switch verificação:** Antes de executar qualquer criptografia, o WannaCry verifica se o domínio `iuqerfsodp9ifjapósdfjhgosurijfaewrwergwea.com` está registrado via DNS. Se o domínio resolver, o malware se encerra sem criptografar - mecanismo que Marcus Hutchins explorou para parar o ataque global em 2017.
**Componente Ransomware (tasksche.exe):** Se o kill switch não parar a execução, o WannaCry se instala como serviço Windows com nome aleatório de 8-15 chars + 3 números. Criptografa 176 extensões de arquivo com RSA-2048 (para a chave de sessão AES-128 por arquivo). Comúnica via Tor (porta 9050) com servidor onion para registrar vítima. Exige US$300-600 em Bitcoin (três endereços hardcoded - o que impediu os operadores de identificar pagadores individuais, inviabilizando a descriptografia mesmo para quem pagasse).
**Por que o kill switch existia:** A razão exata nunca foi confirmada. Teorias incluem: placeholder de desenvolvimento não removido; mecanismo anti-sandbox (domínios inexistentes não resolvem em sandboxes com DNS interno); ou simplesmente um bug. O resultado foi que Marcus Hutchins, ao registrar o domínio por US$10,69, parou a infecção global em horas.
## Attack Flow
```mermaid
graph TB
A["Porta 445 exposta<br/>SMBv1 vulnerável<br/>Sem phishing necessário"] --> B["EternalBlue exploit<br/>CVE-2017-0144 SMBv1<br/>T1210 Remote Services"]
B --> C["DoublePulsar backdoor<br/>NSA tool instalado<br/>Execução remota de código"]
C --> D["Autopropagação worm<br/>128 threads LAN<br/>T1018 Network Discovery"]
D --> E["Kill switch check<br/>DNS lookup dominio NSA<br/>Registrado em maio 2017"]
E --> F["Criptografia AES-128<br/>176 extensoes de arquivos<br/>T1486 Data Encrypted"]
F --> G["Demanda resgate<br/>300-600 USD Bitcoin<br/>Tor C2 comúnicação"]
classDef vector fill:#e74c3c,color:#fff
classDef exploit fill:#e67e22,color:#fff
classDef backdoor fill:#8e44ad,color:#fff
classDef worm fill:#2980b9,color:#fff
classDef ks fill:#7f8c8d,color:#fff
classDef encrypt fill:#27ae60,color:#fff
classDef impact fill:#2c3e50,color:#fff
class A vector
class B exploit
class C backdoor
class D worm
class E ks
class F encrypt
class G impact
```
## Timeline
```mermaid
timeline
title WannaCry - Linha do Tempo
2017-03-14 : Microsoft lanca patch MS17-010
: EternalBlue corrigido mas nao aplicado
2017-04-14 : Shadow Brokers vaza EternalBlue e DoublePulsar
: Exploit NSA torna-se publico
2017-05-12 : Ataque comeca 07h44 UTC - Asia primeiro
: NHS Telefonica Deutsche Bahn afetados
2017-05-12 : Brasil - INSS Previdencia Vivo atingidos
: Marcus Hutchins registra kill switch 15h03 UTC
2017-12 : EUA e Reino Unido atribuem a Coreia do Norte
: Lazarus Group formalmente responsabilizado
2018-08 : Variante sem kill switch afeta TSMC Taiwan
: Producao de chips paralisada por dias
2024-05 : 7 anos depois - ainda detectado em redes industriais
: Sistemas legados continuam vulneraveis
```
## TTPs Mapeados
| Tática | Técnica | Uso Específico |
|--------|---------|----------------|
| Movimento Lateral | [[t1210-exploitation-of-remote-services\|T1210]] | EternalBlue - exploração de CVE-2017-0144 no SMBv1 para propagação sem phishing |
| Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia AES-128 de 176 extensões de arquivos por host infectado |
| Impacto | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies e backups para impedir recuperação |
| Impacto | [[t1489-service-stop\|T1489]] | Parada de serviços específicos para liberar arquivos bloqueados para criptografia |
| Persistência | [[t1543-003-windows-service\|T1543.003]] | Instalação como serviço Windows com nome aleatório de 8-15 caracteres |
| C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Criptografia RSA-2048 para proteção da chave AES de sessão |
| C2 | [[t1090-003-multi-hop-proxy\|T1090.003]] | Comúnicação com servidor de pagamento via rede Tor |
| Descoberta | [[t1018-remote-system-discovery\|T1018]] | 128 threads de escaneamento de rede LAN para identificar alvos |
| Descoberta | [[t1016-system-network-configuration-discovery\|T1016]] | Descoberta de configuração de rede para mapeamento de propagação |
| Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Varredura de arquivos para identificar extensões a criptografar |
| Descoberta | [[t1120-peripheral-device-discovery\|T1120]] | Descoberta de dispositivos periféricos conectados |
| Evasão | [[t1564-001-hidden-files-and-directories\|T1564.001]] | Criação de arquivos e diretórios ocultos durante a infecção |
| Evasão | [[t1222-001-windows-file-and-directory-permissions-modification\|T1222.001]] | Modificação de permissões de arquivos para garantir acesso de criptografia |
| Execução | [[t1047-windows-management-instrumentation\|T1047]] | WMI para execução remota durante propagação lateral |
| Movimento Lateral | [[t1563-002-rdp-hijacking\|T1563.002]] | RDP Hijacking em sessões ativas para propagação adicional |
## Grupos que Usam
- [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte / DPRK) - atribuição formal pelos EUA e Reino Unido em dezembro de 2017. Mesmo grupo responsável por [[operation-blockbuster|Operation Blockbuster]] e ataques ao setor financeiro LATAM.
## Relevância LATAM/Brasil
O WannaCry causou impactos diretos e documentados no Brasil em maio de 2017, configurando um dos maiores incidentes de cibersegurança da história do país. Instituições afetadas incluíram o INSS, a Previdência Social, o Ministério Público de São Paulo, a Vivo/Telefônica Brasil, universidades federais e hospitais públicos em vários estados. O Brasil foi um dos países mais afetados da América Latina, refletindo a alta prevalência de sistemas Windows desatualizados no setor público e privado - especialmente Windows XP e Windows 7 sem suporte, que eram abundantes em hospitais, escolas e órgãos governamentais brasileiros.
O caso WannaCry tornou-se marco obrigatório na história da cibersegurança brasileira, acelerando discussões sobre políticas de gestão de patches no setor público, segmentação de redes e atualização de sistemas legados em infraestrutura crítica nacional. O [[g0032-lazarus-group|Lazarus Group]] continua sendo uma ameaça ativa para o Brasil, especialmente via ataques ao setor financeiro - e o WannaCry permanece como referência obrigatória em exercícios de resposta a incidentes em organizações brasileiras.
A relevância persiste em 2024-2025 porque sistemas industriais (SCADA/OT), equipamentos médicos e sistemas legados governamentais brasileiros ainda rodam sistemas operacionais sem suporte para os quais o patch MS17-010 não está disponível - ou não pode ser aplicado por restrições operacionais. O CERT.br documentou incidentes em 2023-2024 atribuídos a variantes do WannaCry sem kill switch em redes de manufatura e hospitais brasileiros.
## Detecção
> [!critical] WannaCry Ainda Está Ativo
> Apesar de ter sido originalmente parado pelo kill switch em 2017, variantes sem kill switch continuam circulando. Sistemas Windows desatualizados - especialmente em ambientes industriais, hospitalares e governamentais - ainda são vulneráveis ao EternalBlue. Em 2024, o WannaCry continuava sendo detectado em redes de manufatura e infraestrutura crítica globalmente.
**Fontes de dados recomendadas:**
- **SMB monitoring:** Verificar sistemas com SMBv1 habilitado via `Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol` - presença de SMBv1 indica vulnerabilidade. Monitorar varredura massiva de porta 445 internamente (IDS/NSM alert) como indicador de propagação ativa
- **Sysmon Event ID 1 (ProcessCreate):** Criação de serviço Windows com nome aleatório de 8-15 chars + 3 números - padrão de instalação do componente ransomware
- **File monitoring:** Arquivos com extensão `.WNRY` ou `.WCRY` em múltiplos diretórios; presença de `tasksche.exe`, `@
[email protected]` ou `mssecsvc.exe` em disco
- **Network:** Tráfego Tor (porta 9050) de estações de trabalho para servidores onion - indicador de componente ransomware ativo
**Regras de detecção:**
- Sigma: `win_wannacry_ransomware.yml` - detecção por criação de serviço e arquivos característicos do WannaCry
- IDS: Snort `ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response` (sid:2024218) para detectar propagação via SMBv1
- YARA: `wannacry.yar` - strings internas do componente worm e padrões do bootloader de resgate (repositório Neo23x0/signature-base)
## Referências
- [1](https://attack.mitre.org/software/S0366/) MITRE ATT&CK - S0366 WannaCry
- [2](https://cloud.google.com/blog/topics/threat-intelligence/wannacry-malware-profile/) Mandiant/Google - WannaCry Malware Profile (2022)
- [3](https://blog.talosintelligence.com/wannacry-ransomware-that-propagates/) Cisco Talos - WannaCry Ransomware That Propagates on Its Own (2017)
- [4](https://cert.europa.eu/static/SecurityAdvisories/2017/CERT-EU-SA2017-012.pdf) CERT-EU - WannaCry Ransomware Campaign Advisory (2017)
- [5](https://www.security.com/threat-intelligence/wannacry-ransomware-attack) Symantec - WannaCry: Strong Links to Lazarus Group (2017)
- [6](https://www.cloudflare.com/learning/security/ransomware/wannacry-ransomware/) Cloudflare - What was the WannaCry ransomware attack? (Reference)