Especial: WannaCry e Ciberataques
Se você (assim como eu) já recebeu um email de alguém da sua lista de contatos com algum assunto inesperado e um arquivo em anexo, clicou e baixou o arquivo com a total confiança de que era apenas um texto ou uma imagem que a pessoa queria compartilhar com você, esse post é para você.
Esse tipo de vírus de computador, as famosas spams de email, são uma forma muito eficaz de infectar uma grande quantidade de máquinas em pouco tempo. Eles se aproveitam de bugs já conhecidos no sistema operacional dos computadores de pessoas que sempre clicam em “adiar” quando o sistema pede para realizar atualização de segurança, seja ele qual for. Assim que você baixar e abrir o arquivo (o que danificaria o seu computador e, talvez, as redes às quais ele estiver conectado), várias outras pessoas da sua lista de contatos receberão o mesmo email com o mesmo anexo, infectando cada vez mais máquinas.
A “Love Letter” dos anos 2000, por exemplo, um email cujo assunto era “ILOVEYOU” (“Eu te amo”, em português) e que trazia em anexo um vírus disfarçado de arquivo de texto com o nome “LOVE-LETTER-FOR-YOU.TXT.vbs” (“Carta de amor para você”, em português), foi capaz de atingir de 60 a 80% das empresas norte-americanas e causar um prejuízo entre $8,75 e $10 bilhões! Neste caso específico, o arquivo do tipo VBScripts (“.vbs”) mudava as extensões dos arquivos do computador infectado de “.txt” para “.txt.vbs”, por exemplo, tornando difícil a recuperação dos mesmos.
Há ainda aqueles emails de spam cujo anexo “não abre”: na verdade eles executam e ficam “escondidos” em seu computador, esperando um comando que venha de fora para serem ativados. Forma-se, então, uma rede de robôs (computadores) infectados, uma BotNet ou “máquinas-zumbi”, que podem ser usadas para um ataque coordenado: vários computadores mandam pedidos ao mesmo tempo para um sistema, fazendo com que um site, por exemplo, não consiga mais responder aos usuários reais, o chamado DDoS ou Ataque de Negação de Serviço.
O controle desses ataques não precisa estar nas mãos de quem criou o programa: na deep web existem sites em que você pode alugar uma botnet, para realizar um ataque para derrubar serviços, cobrar extorsão e até gerar cliques falsos para ganhar dinheiro. Em 2016, o Twitter, o Spotify, o Reddit, o The New York Times e a Netflix saíram do ar por causa de um ataque que movimentava mais de 1 Terabit/s, com mais de 100 mil bots atacando ao mesmo tempo em ondas crescentes de acesso, que fizeram o especialista em segurança digital Bruce Schneider se perguntar se a ação não foi feita por um grupo de hackers, mas sim por um país como a Rússia ou a China, aprendendo o que é necessário para tirar a web americana do ar.
Ransomware
O conceito de ransomware foi desenvolvido em 1996 por dois pesquisadores e se baseia em aproveitar vulnerabilidades dos sistemas operacionais para instalar malwares no computador das vítimas sem que elas notem a presença deles, encriptar os dados que se encontram lá e pedir o pagamento do seu “resgate” (ransom é “resgate”, em inglês). Mas a aplicação desse conceito só foi possível mais recentemente, com o surgimento e a consolidação das criptomoedas, que são uma ótima opção para pagamentos irrastreáveis.
Em 2012 tivemos o Reveton: um vírus ransomware que se espalhou através do download e da utilização de programas piratas que enviavam um aviso falso, fingindo ser autoridades policiais, cobrando uma multa pela utilização dos programas ilegais. Se não houvesse pagamento, o usuário perderia o acesso ao computador, incluindo todos os dados contidos nele.
Já o Trojan CryptoLocker se espalhou utilizando as já conhecidas spams, uma BotNet já existente e sites maliciosos muito parecidos com os originais. Quando foi ativado, entre setembro de 2013 e maio de 2014, encriptou os arquivos das vítimas utilizando uma RSA chave de criptografia pública, com a chave privada guardada nos servidores do malware. Estima-se que esse ataque tenha arrecadado cerca de $27 milhões em resgate dos dados, que nem sempre eram decriptados e entregues às vítimas, mesmo mediante pagamento.
WannaCry
Um grupo anônimo de pessoas conhecido como The Shadow Brokers publicou em abril de 2017 alguns dados sobre ferramentas de hacking, segundo ele, criadas pela NSA (National Security Agency), que, ao invés de notificar os fabricantes das falhas, usava as brechas para criar ferramentas de espionagem.
Entre elas estava a vulnerabilidade no sistema de segurança do Windows no protocolo SMB (Server Message Block) conhecida como ETERNALBLUE, que já havia sido corrigida nos pacotes de atualização das versões do sistema operacional ainda suportadas pela Microsoft (Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016) em março de 2017.
Como nem todos os computadores foram atualizados (a maioria), cerca de um mês após a liberação dos dados, o vírus WannaCry começou a sua difusão em larga escala, explorando justamente esta vulnerabilidade, encriptando os arquivos dos computadores das vítimas e exigindo um pagamento de $300,00 em bitcoins para que o usuário os obtenha de volta.
De início, foi o caos: o ataque atingiu milhares de organizações importantes em vários países do mundo, como o Sistema de Saúde Inglês (National Health Service – NHS), o Ministério do Interior Russo, a Telefónica na Espanha, a Renault na França, além dos usuários comuns e das empresas que não se pronunciaram. Na sexta-feira, 12 de maio, eram 300 mil vítimas em pelo menos 150 países do mundo.
O que diminuiu um pouco a expansão do vírus foi um descuido dos seus próprios criadores: o especialista em TI britânico de 22 anos, Marcus Hutchins, percebeu, que, no meio do código do vírus havia uma URL incomum (iuqerfsodp9ifjaposdfjhgosurijfaewrgwergwea.com) com a qual o programa se conectava à internet antes de encriptar a máquina, provavelmente para checar se não estava rodando e sendo observado por uma máquina virtual. Com isso, Marcus, conhecido na internet como MalwareTech, pagou o equivalente a R$35 para comprar esse domínio, tirando a possibilidade do programa malicioso encriptar uma máquina já infectada apenas bloqueando seu acesso à internet. Isso deu um “tempo” para que o alerta se espalhasse e os sistemas operacionais dos computadores fossem atualizados.
Além disso, o WannaCry foi considerado um programa um pouco “amador”, pois, como ele não apagava os números usados na conta da encriptação, pelo menos dois pesquisadores desenvolveram ferramentas que desencriptam os arquivos, sem que seja preciso pagar o resgate.
Até o momento estima-se que este ciberataque tenha arrecadado menos de $110 mil, pela estimativa do FBI, o que não é considerado muito se comparado à quantidade de computadores infectados. O que houve foi que mesmo as pessoas que pagavam o resgate dos arquivos tinham poucas chances de recebê-los de volta (apenas 0,1% de quem pagou recebeu os arquivos), já que os hackers por trás do “sequestro” só possuíam uma carteira em bitcoin e era muito difícil rastrear quem realizou os pagamentos, logo, pouca gente continuou pagando. Para servir de base de comparação, o WannaCry arrecadou menos do que o Adylkuzz, outro vírus que explorou o ETERNALBLUE do Windows para roubar processamento e minerar a criptomoeda Monero.
Quer entender mais sobre este tema? O vídeo abaixo do canal Nerdologia explica o que aconteceu neste último ciberataque e dá algumas dicas de como se proteger contra ele:
Fontes
- Hackeando o mundo – Nerdologia (português)
- Botnets: um exército zumbi pronto para atacar – Nerdologia (português)
- Why Was the WannaCry Attack Such a Big Deal? – SciShow (inglês)
- Symantec: WannaCry, Cryptolocker e Adylkuzz. (inglês)
- Wikidot: LoveLetter (inglês)
- Cert: LoveLetter (inglês)
- ECommerceTimes: LoveLetter (inglês)
- ArsTechnica: NSA Hacking Tools Leak (inglês)
- Forbes: NSA Hacking Tools Leak (inglês)
- Wikipedia: EternalBlue (inglês)
- Wikipedia: WannaCry (português)
- Hardware: WannaCry (português)
- UOL Tecnologia: WannaCry (português)
- UOL Tecnologia: Adylkuzz (português)
- Jornal Econômico: Adylkuzz (português)
Gostou do conteúdo? Deixe seu comentário!