Era uma vez… um dos maiores ataques de Ransomware da história

Mais de 10 mil empresas, 200 mil utilizadores e 150 países afectados.

Na última sexta-feira, um ataque informático massivo afectou várias empresas por todo o mundo. Os alarmes soaram mal as primeiras notícias começaram a sair, com as primeiras menções restritas à operadora espanhola Telefónica e à portuguesa MEO; o caso depressa atingiu nova dimensão.

O cenário do crime e a lista das vítimas

A lista de utilizadores e empresas infectadas não tem parado de crescer e aquilo que inicialmente parecia ser um ataque à escala da Península Ibérica depressa ganhou contornos globais. Contas feitas, foram mais de 10 mil empresas e 200 mil utilizadores afectados, num total de 150 países.

Em comum, os dispositivos afectados tinham essencialmente dois factores: um sistema operativo da Microsoft anterior ao Windows 10, e a última actualização de segurança pendente. O ataque – sabe-se agora – terá sido perpetrado através de uma falha em algumas versões do Windows conhecida como EternalBlue e que a Microsoft alega ter corrigido na actualização de segurança a 14 de Março.

Além das operadoras de telecomunicações Telefónica e MEO, entre as vítimas figuram vários hospitais no Reino Unido, caminhos-de-ferro alemães, universidades na China, fábricas francesas da Renault, a FedEx e até o gabinete do Ministério do Interior russo. Para além destes directamente visados, o pânico generalizado pôs em causa o funcionamento de centenas de outras empresas impelidas a desligar as suas redes como medida de prevenção.

Os criminosos e as armas do crime

Quanto aos autores do ataque já muito se disse e escreveu sem nada se poder afirmar com certeza. Pelo tipo de ataque e o tipo de proteção de privacidade utilizado neste género de ataques, teme-se que os verdadeiros responsáveis possam nunca ser identificados ou que, com sorte, este processo dure alguns meses

A troca de acusações com substracto político, essa, não se fez esperar, o que ao contrário do pretenso objectivo, pode dificultar ainda mais a coordenação de operações de investigação de um crime com esta escala.

Quanto à arma do crime, o grau de certeza é bem mais elevado. Embora alguns relatos variem – mas não muito – tudo aponta desde a primeira hora para um ataque de phishing com ransomware. Ou seja, um ficheiro que uma vez alojado no computador tem a capacidade de se transformar (e de transformar os ficheiros do nosso computador) e de se difundir por toda a rede a que determinado o computador esteja ligado – explorando, cá está, a falha conhecida como Eternal Blue. 

Não é de todo a primeira vez que este tipo de ataque acontece, não deixando de ser surpreendente pela sua dimensão, este ataque acaba por ser o culminar de uma tendência que há muito se observa. Por um lado com o evoluir da Internet e do que cá se passa, os servidores e dispositivos electrónicos são cada vez alvos mais apetecíveis, por outro, com a evolução dos hackers e das suas abordagens. 2017 já estava assinalado por especialistas em segurança digital como o ano deste tipo de ataques.

Neste caso concreto especula-se que o ataque tenha como base uma falha que conforme conta o New York Times terá sido descoberta e explorada pela Agência de Segurança dos EUA (NSA) até que um grupo de hackers denominado Shadow Brokers começou a tornar pública a lista ferramentas e técnicas de espionagem utilizadas pelos serviços secretos norte-americanos.

O móbil

Num ataque desta natureza e expansão, torna-se difícil identificar todas as vítimas quanto mais perceber o que motivou ao ataque. Embora a resposta mais imediata possa passar pela assunção do resgate enquanto objectivo máximo do golpe, várias são as nuances que levantam sérias dúvidas. Começando pela aleatoriedade dos alvos (de fábricas a hospitais), passando pelo número de visados (demasiado grande para passar despercebido) e acabando no modus operandi (que colocou a NSA e a Microsoft no centro da discussão).

Para além destes dados especulativos, outro que não se pode ignorar é a quantia recebida até agora pelos atacantes. No meio de mais de 10 mil empresas e de pedidos de resgate crescentes a começar nos 300 dólares chegando até aos 500mil, em alguns relatos, o WannaCry só ainda arrecadou perto de 63 mil dólares, qualquer coisa como 37.35BTC. E como se sabe isso? Uma das particularidades desta criptomoeda é que mantém sempre o saldo das carteiras acessível ao público, escondendo apenas o seu proprietário.

As testemunhas

Poucas horas após o início e disseminação do ataque uma história paralela que parecia vinda do reino das fake news começou a espalhar-se: um jovem sob o handle @MalwareTechBlog no Twitter havia descoberto um kill-switch para este ataque, isto é, uma forma de o travar ou pelo menos desacelerar. Para isso, tudo o que teve de fazer foi registar o domínio ao qual o ransomware estava associado – uma ideia que pode parecer descabida mas que acabou por funcionar melhor do que este white hacker pensava. Segundo conta em entrevista aos diversos meios de comunicação, o seu propósito era apenas registar o domínio para o poder monitorizar, tendo sido tão surpreendido como qualquer outro quando percebeu que a sua acção estava a impedir a infecção em massa. A resolução dos problemas por (quase) acaso não é de estranhar num meio tão complexo e onde se exploram sobretudo falhas dos sistemas.

Mas se na história do ataque @MalwareTechBlog podia vestir simplesmente a capa de herói anónimo, depressa a imprensa começou a trazer a sua identidade e uma série de fait-divers à baila, o que, logicamente, causou algum desconforto a este utilizador – que, segundo se sabe e se pode adiantar sem revelar pormenores, será britânico, jovem e auto-didacta.