Por Paulo Alves
Em 15/05/2017 no site TechTudo
As maiores equipes de segurança da informação do mundo estão investigando o WannaCrypt — malware que atingiu várias empresas e instituições na última sexta-feira (12). No entanto, a ameaça foi parada (mas não totalmente) por um desconhecido. Um jovem que atende por @malwaretechblog no Twitter pausou a infecção do ransomware e impediu que o ataque se espalhasse por mais países.
O britânico de 22 anos, que não quer ter o nome revelado, trabalha em uma empresa americana de inteligência contra ameaças. Ele teria desativado o WannaCrypt após descobrir um domínio (endereço de internet) associado à propagação do malware. Para seguir contaminando mais computadores, o vírus verificava se este site estava no ar ou não.
Eu dei uma olhada rápida, consegui uma amostra do malware, e percebi que ele estava conectando a um domínio específico não registrado
“Eu dei uma olhada rápida [nos ataques], consegui uma amostra do malware e percebi que ele estava conectando a um domínio específico não registrado. Então eu fui lá e registrei [o domínio]”, conta. Para isso, recebeu ajuda de um técnico da empresa de segurança Proofpoint.
O rapaz comprou o domínio por US$ 10,69 (equivalente a R$ 33). Segundo ele, a empresa na qual trabalha costuma comprar domínios envolvidos em ataques cibernéticos para fins de investigação. É comum que esses endereços indiquem o modo de funcionamento de um vírus.
De início, o jovem chegou a ser acusado de ter iniciado o ataque a servidores do mundo todo por conta de seu vínculo com o domínio gravado no malware. No entanto, depois, ele percebeu que se tratava do inverso: ao registrar e tomar posse do endereço, ele ativou um mecanismo de pausa no processo de propagação do WannaCrypt.
"A intenção era apenas monitorar a propagação e ver se poderíamos fazer algo sobre isso mais tarde. Mas, realmente, acabei impedindo [o ransomware] de se espalhar apenas registrando o domínio", afirmou.
Investigando mais a fundo, @malwaretechblog descobriu por que isso tudo aconteceu. O WannaCrypt tinha uma espécie de mecanismo de desligamento proposital vinculado a um domínio estranho. Se os criminosos que criaram a ameaça quisessem inutiliza-la a qualquer momento, bastaria registrar o endereço de forma anônima. Aparentemente, os hackers não contavam que alguém iria descobrir o nome do domínio escondido no código do WannaCrypt tão cedo.
Entretanto, caso os PCs estejam em rede interna, mas não conectados à Internet no momento da infecção, fazendo uso de proxy ou outra particularidade, é possível que o vírus siga se alastrando, já que não será possível acessar o domínio registrado. Versões sem a verificação online também podem circular, perpetuando o ciclo do ransomware.
Ransomware
Ransomware é um tipo de ameaça que sequestra os dados do computador, criptografa arquivos pessoais e pede resgate — normalmente em bitcoins, difíceis de serem rastreados. No caso do WannaCrypt, há também um componente extra que torna uma máquina infectada um ponto de distribuição do malware em uma rede.
/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2017/p/B/bjibHaSyK7k03OPkRf3Q/mapa-da-kaspersky-mostra-paises-afetados-pelo-wannacrypt.png)
Mapa da Kaspersky mostra países afetados pelo WannaCrypt (Foto: Reprodução/Kaspersky)
Ao entrar em um computador de uma instituição com rede fechada, potencialmente todos os PCs Windows vulneráreis são atingidos. Segundo a Kaspersky Lab, foram registrados mais de 45 mil ataques em 74 países, incluindo o Brasil. Por sorte, a ação do jovem acabou impedindo que o problema atingisse mais computadores nos Estados Unidos. Com a diminuição das infecções, empresas e o governo do país norte-americano tiveram tempo suficiente para atualizar as máquinas.
A Microsoft confirmou que o WannaCrypt tem origem em armas cibernéticas da NSA (Agência de Segurança Nacional, dos Estados Unidos), que teriam sido roubadas por hackers no início deste ano.
Ainda não acabou
Ainda é preciso se preocupar. Afinal, o funcionamento do vírus foi desativado por algo implementado propositalmente pelos criadores. “Isso não acabou. Os hackers vão perceber como nós os paramos e vão mudar o código. Em seguida, vai começar tudo de novo”, alertou o jovem.
Por enquanto, a única medida de precaução contra o WannaCrypt é atualizar o Windows imediatamente. O malware explora uma falha corrigida pela Microsoft desde março, mas computadores desatualizados seguem expostos. Para resolver, basta ativar o Windows Update.
Via The Guardian
Nenhum comentário:
Postar um comentário