Primeiros relatos de ataques usando o software WanaCrypt0r 2.0 apareceu na sexta-feira e veio da mídia britânicaporque foi na Grã-Bretanha que causou mais confusão ao causar falhas no sistema de informação de saúde.
Como resultado do ataque muitos hospitais, clínicas e enfermarias britânicos foram paralisados, informações semelhantes vieram de outros países logo depois. Segundo eles, entre as vítimas dos hackers estavam, entre outros, computadores do Ministério do Interior russo, a rede móvel local Megafon ou Telefonica – a maior operadora de telecomunicações da Espanha.
WanaCrypt0r 2.0 é um tipo de ransomware, que funciona criptografando os dados no disco rígido do usuário e, como resultado, bloqueando o o ao computador. Para recuperar os dados, o usuário deve pagar um resgate aos invasores, que no caso do WannaCrypt é $ 300. em criptomoeda.
De acordo com dados fornecidos por empresas de segurança na Internet a partir de sexta-feira computadores em 99 países ao redor do mundo foram atacados. Entre eles estavam máquinas que criam infraestruturas críticas em países como o Reino Unido, onde o WanaCrypt infectou computadores pertencentes ao serviço de saúde estadual, paralisando o sistema de issão e tratamento de pacientes.
O objeto do ataque também foi, entre outros, Telefonica, o maior operador de telecomunicações em Espanha, um dos fornecedores de Internet em Portugal ou o Ministério do Interior russo.
De acordo com especialistas em segurança de rede, o ataque foi global, sem clusters relacionados a regiões específicas do mundo. Isso é evidenciado pelo mapa elaborado pela F-Secure mostrando os sites atacados pelo WannaCrypt detectados por esta empresa.
De acordo com informações fornecidas pela BBC por trás do ataque um grupo de hackers chamado The Shadow Brokers pode se envolverque usava software da Agência de Segurança Nacional dos EUA.
WannaCrypt usa uma falha de segurança no sistema para atacar Windowsque foi detectado em março deste ano e que a Microsoft corrigiu na atualização publicada no mesmo mês. Portanto, as vítimas do WannaCrypt são aqueles sistemas que não foram atualizados a tempo. Em resposta à crise, a Microsoft lançou uma atualização adicional aplicável para todos os sistemas legados (incluindo Windows 8 e Windows XP) e instou seus usuários a reagir imediatamente.
No sábado, surgiram informações de que o ataque usando o WannaCrypt foi interrompido abruptamente. Um dos especialistas em TI que descobriu que o WannaCrypt estava se conectando a um domínio de Internet não registrado deveria estar por trás disso. Especialista em TI por um valor superior a $ 10. registrou este endereço, e os ataques cessaram. No entanto, de acordo com entrevistas realizadas pela Wirtualnemedia.pl com especialistas em segurança cibernética, não há garantia de que o WannaCrypt retornará a qualquer momento relacionado a um site com um endereço completamente diferente.
O resgate do WannaCrypt é de PLN 35.000, mas esse valor aumentará
Piotr Konieczny, chefe da equipe de segurança da Niebezpiecznik.pl (uma empresa que lida com a invasão de servidores de terceiros com seu consentimento para rastrear erros de segurança em sua infraestrutura de TIC) enfatiza que o sucesso e a escala do ataque atual são em grande parte o resultado de negligência por parte dos usuários.
– As análises iniciais sugerem que o ataque se espalha entre computadores explorando brechas conhecidas (mas não corrigidas pelas vítimas) no serviço Windows SMB – enfatiza Piotr Konieczny.
Os detalhes desses buracos foram revelados há alguns meses com a publicação das ferramentas roubadas da NSA na internet. A Microsoft há muito tempo lançou atualizações relevantes. No entanto, como podemos ver – nem todos os aplicaram. Como os criminosos aceitam o resgate em Bitcoins e os endereços de depósito são conhecidos, eles podem ser rastreados. Atualmente, valem cerca de 35 mil. PLN, então várias dezenas de pessoas pagaram pela recuperação de seus dados. Para a escala de infecção, não é muito. Mas levando em consideração o fato de que provavelmente não é fácil para muitos obter Bitcoin – os depósitos podem começar a aumentar. Essa situação mostra mais uma vez que, se atualizarmos nosso software regularmente, podemos evitar a maioria dos ataques. E se regularmente fazemos backups de dados importantes, mesmo que os criminosos consigam assumir nosso sistema, sempre podemos reinstalá-lo e restaurar os dados do backup – avisa Konieczny.
Estes não são terroristas, a guerra cibernética não pode ser descartada
Em uma entrevista conosco, Sean Sullivan, consultor de segurança cibernética da F-Secure, duvida dos fundamentos terroristas do atual ataque. – WannaCry é uma repetição do ado. Infelizmente, as organizações há muito ignoram os princípios básicos de segurança, como a necessidade de usar um firewall, e assim o WannaCry rapidamente saiu do controle, explica Sean Sullivan.
– O que aconteceu não é o pior cenário – felizmente no infortúnio, o ataque não foi um ato de terrorismo ou um ato por ordem do governo. Nesse caso, os cibercriminosos são movidos pelo desejo de ganhar dinheiro e os efeitos do ataque são reversíveis. A escala do empreendimento, no entanto, é uma evidência perigosa de que um ataque potencialmente irreversível por hackers em nome de um país seria possível.
Por sua vez, Kamil Gapiński, gerente de projetos da Safe Cyberspace Foundation, não descarta que o atual ataque usando WannaCrypt seja uma espécie de treinamento antes de uma ofensiva de guerra cibernética maior, que o cidadão comum nunca conhecerá.
– WannaCrypt é uma ameaça global. Uma comparação importante de anos anteriores pode ser, por exemplo, o bot Mirai, que usava dispositivos de Internet das Coisas em todo o mundo – lembra Kamil Gapiński. – Os ataques de ransomware acontecerão cada vez com mais frequência, atualmente é um dos principais vetores de ataque. Há vários fatores por trás dessa tendência.
De acordo com o nosso interlocutor, a questão do armazenamento de grandes quantidades de dados importantes em sistemas inseguros e a baixa conscientização dos usuários associada é óbvia.
– Os mesmos sistemas são usados para uso doméstico e como ferramenta básica de trabalho para operadores de infraestrutura crítica, como hospitais, sistemas de abastecimento de água, setor de transporte, etc. – explica Gapiński. – É também por isso que o ransomware é relativamente fácil de executar e muito mais difícil de proteger. A importância das criptomoedas, ou seja, o meio de pagamento utilizado pelos cibercriminosos em ataques desse tipo, também está crescendo. Hoje, na maioria das vezes é o Bitcoin, mas o Blockchain, que já está em uso, está na fila. A crescente disponibilidade deste software também é preocupante, especialmente porque já aparece como parte do serviço (ransomware as a service). Como evoluiu no caso de DDoS (negação de o distribuído), pudemos ver por nós mesmos – esse tipo de serviço pode ser adquirido por apenas alguns dólares.
De acordo com um especialista da Safe Cyberspace Foundation, os ataques de ransomware serão eficazes desde que os proprietários dos dados criptografados atendam às demandas dos criminosos.
– Esse grupo inclui uma pequena parte dos usuários atacados, mas esse tipo de ataque não precisa ser totalmente eficaz, mas trazer benefícios – enfatiza Gapiński. – Afinal, muitas vezes estamos falando de quantias baixas transferidas para contas de hackers com base na “paz de espírito”. No caso do WannaCryptu é $ 300, o que é um pequeno sacrifício depois de contabilizar as perdas potenciais devido à perda de dados. E os dados nem sempre podem ser totalmente descriptografados. Os criminosos estão contando com esses usuários.
Nosso interlocutor alerta que já estão sendo criados códigos maliciosos que exigem somas com base, por exemplo, no grau de prosperidade de um determinado país. – Vale lembrar também que o fenômeno do ransomware afeta apenas em pequena medida os sistemas utilizados nas empresas. De acordo com pesquisas (por exemplo, Kaspersky), pode-se estimar que mais de três quartos dos ataques visam computadores domésticos, enfatiza Gapiński. – Talvez a campanha WannaCrypt seja parte de uma operação de guerra em rede. O elemento de estado também está presente neste caso. O código malicioso estava anteriormente na posse da NSA. No entanto, a avaliação desta ameaça em termos de ciberguerra deve ser adiada até que seja realizada uma análise detalhada deste caso na área de atribuição. Em suma, podemos nunca descobrir – prevê Gapiński.
