Bem-vindo ao novo padrão de ataques!
Ransomware é um tipo de código malicioso utilizado por hackers e que torna dados armazenados em um equipamento inacessível ao usuário. Geralmente este ataque se utiliza da criptografia, e os criadores exigem um pagamento de resgate (ransom) em bitcoins para restabelecer o acesso ao usuário.
O ano de 2017 passou por três grandes ataques de ransomware. Em maio, o WannaCry afetou cerca de 200 mil computadores em mais de 150 países, com prejuízo estimado em US$ 1 bilhão de dólares. No final de junho, mais um ataque global foi realizado, desta vez chamado Petya: impactou mais de 12 mil computadores, encriptou hard drives e os tornou inúteis. Por fim, em outubro, e com menor alcance, o Bad Rabbit afetou sistemas de aeroportos, metrôs e empresas de países como Rússia, Ucrânia, Turquia e Alemanha.
Segundo informações da NSA (Agência de Segurança Nacional dos Estados Unidos), divulgadas pelo grupo de hackers Shadow Brokers, o Petya usou um exploit – que pode ser um programa, comando ou sequência de dados que se aproveita da vulnerabilidade de um sistema para invadi-lo. Dessa maneira, o ransomware encriptou dados em hard drives e não arquivos individuais, e exigiu o resgate de US$ 300 dólares em Bitcoins.
Chamado de EternalBlue, o exploit se aproveita de uma vulnerabilidade no Bloco de Mensagem de Servidor (SMB), protocolo que fornece acesso compartilhado a arquivos e dispositivos periféricos, e afeta principalmente máquinas com Windows. Esse tipo de falha expõe informações relevantes para todos os governos a partir de uma aplicação que é bem consolidada na internet e amplamente utilizada, tanto por empresas privadas quanto por agências governamentais.
Diferente do WannaCry, que foi distribuído pela verificação de brechas de sistemas rodando SMB na internet pública, o Petya foi distribuído internamente por uma cadeia de suprimentos que fornece um software de contabilidade chamado MeDoc. Os infratores aparentemente adicionaram o exploit à distribuição de uma atualização do programa, que então chegou aos consumidores e comprometeu os sistemas internos das empresas.
Muitas empresas protegeram suas redes públicas do EternalBlue, mas aparentemente não seguiram o mesmo padrão de segurança nas redes internas, o que permitiu que o Petya se espalhasse rapidamente em escala global. Este ataque foi particularmente destrutivo por natureza, já que encriptava o Registro Mestre de Inicialização (MBR) do usuário, bloqueando-os do sistema e tornando o computador inteiro inutilizável.
Por final, o Bad Rabbit ficou conhecido como uma versão atualizada e com bugs corrigidos do Petya. Mais potente que o antecessor, o ransomware não utiliza exploits, mas infecta os dispositivos a partir de um instalador falso do Adobe Flash. Ao acionar o programa corrompido, a vítima instala um arquivo .exe falso e o PC é criptografado, e um resgate de 0,05 bitcoins (cerca de R$ 1 mil) é cobrado para liberar o acesso aos dados.
WannaCry, Petya e Bad Rabbit representam uma nova era de ataques relacionados à extorsão, na qual grupos de crimes organizados procuram por caminhos que proporcionem o maior número de vítimas no menor espaço de tempo. Ao invés de utilizar os ransomwares ‘direcionados’, que funcionam com base na esperança de que vítimas específicas realizem pagamentos de grandes valores, os hackers têm utilizado os ransomware ‘spam’, que infectam o maior número de pessoas possível e, dessa forma, mesmo com pagamentos menores, o montante total é maior do que em ataques concentrados.
Além disso, o Petya também trouxe o elemento da dependência da cadeia de suprimentos, ou seja, das empresas que aceitam atualizações de fornecedores diretamente em suas linhas de produção. Isto é algo que outros cibercriminosos vão levar em conta.
* Pablo Dubois é gerente de Produtos de Segurança da CenturyLink para América Latina
