A Sophos publicou um artigo sobre o que aconteceu com o infame malware WannaCry seguindo o ataque mundial que começou em 12 de maio de 2017. A pesquisa do SophosLabs mostra que a ameaça do WannaCry segue alarmante, com milhões de detecções todos os meses, e que, apesar do malware original não ter sido atualizado, milhares de variantes efêmeras são lançadas em campo.
A existência contínua da ameaça do WannaCry se deve largamente à habilidade que essas novas variantes têm de driblar o “kill switch”. Entretanto, quando os pesquisadores da Sophos analisaram e executaram um grupo de amostras das variantes, descobriram que sua habilidade de criptografar dados era neutralizada – resultado de corrupções no código.
Devido à maneira com a qual o WannaCry infecta novas vítimas – checando se um computador já está infectado, e, caso sim, movendo-se para outro alvo – a infecção por uma versão inerte do malware protege efetivamente o dispositivo de ser infectado por uma variedade ativa. Resumidamente, novas variantes do malware agem como uma vacina acidental, oferecendo a computadores ainda vulneráveis e sem patches imunidade a um ataque completo do ransomware WannaCry.
Apesar disso, o próprio fato desses computadores poderem ser infectados indica que o patch contra a principal vulnerabilidade explorada pelos ataques do WannaCry não foi instalado – um patch que foi lançado há mais de dois anos.
O malware WannaCry original foi detectado apenas 40 vezes e, desde então, os pesquisadores da SophosLabs identificaram 12.480 variantes do código original. A inspeção detalhada de mais de 2.700 amostras (que respondem a cerca de 98 por cento das detecções) revelou que todas elas evoluíram para desviar de “kill switch” – uma URL específica que termina automaticamente o processo de infecção caso o malware se conecte à ela -, e que todas tinham um componente de ransomware corrupto e eram incapazes de criptografar dados.
Em agosto de 2019, a telemetria da Sophos detectou 4,3 milhões de ocorrências do WannaCry. O número de variações diferentes observadas foi 6.963 – destas, 5.555, ou 80%, eram novos arquivos.
Os pesquisadores da Sophos também rastrearam a primeira aparição da variante mais difundida atualmente apenas dois dias após o ataque original, em 14 de maio de 2017, quando foi carregado no VirusTotal, mas ainda não havia sido visto por aí.
“O surto do WannaCry em 2017 mudou o cenário de ameaças para sempre. Nossa pesquisa destaca quantos computadores sem patches ainda estão por aí – e, se você não instalou atualizações lançadas há mais de dois anos, quantos outros patches perdeu? Algumas vítimas têm tido sorte, porque variantes do malware as imunizaram contra versões mais recentes. Mas nenhuma organização deve depender disso. Como alternativa, a política de instalar patches assim que ficam disponíveis deveria ser uma prática padrão, além da adoção de uma solução de segurança robusta que cubra todos os endpoints, redes e sistemas”, disse Peter Mackenzie, especialista de segurança na Sophos e autor principal da pesquisa.