Ciberataque se espalha em escala global e instituições no Brasil se previnem
Hackers pedem dinheiro em troca de informações sequestradas nos computadores invadidos.
O vírus (conhecido como malware) que atacou na manhã desta sexta-feira os equipamentos da Telefónica, em Madri, já chegou a várias dezenas de países. Do tipo ransomware, ele promove o sequestro de dados e cobra um resgate para liberar o sistema, tendo infectado várias empresas e instituições na Espanha, Taiwan, Rússia, Portugal, Ucrânia, Turquia e Reino Unido — neste último, o vírus causou um colapso no Serviço Nacional de Saúde —, segundo informações divulgadas pelas empresas especializadas em cibersegurança s21sec e Check-point. Costin Raiu, diretor global do grupo de pesquisadores e análises do Kaspersky Lab, uma empresa de segurança em informática, afirmou em um tuite que foram registrados mais de 45.000 ataques em 74 países. Até o momento, esses ataques não atingiram infraestruturas consideradas críticas.
O ataque que afetou a sede da multinacional de telecomunicações espanhola Telefónica reverberou no Brasil, onde a companhia controla a Vivo, de acordo com o jornal O Globo. A empresa divulgou nota, contudo, para dizer que seu sistema não foi afetado. “A Telefónica Espanha informa que na manhã de hoje foi detectado um incidente de segurança cibernética que afetou alguns computadores de colaboradores que estão na rede corporativa da empresa. Imediatamente, foi ativado o protocolo de segurança para tais incidentes com a intenção de que os computadores afetados voltem a funcionar o mais rapidamente possível”, informou. A nota termina dizendo que “a Telefônica Brasil não foi impactada pelo incidente de segurança, mas, mesmo assim, está tomando medidas preventivas para garantir a normalidade de sua operação.”
Os sites do Tribunal de Justiça e do Ministério Público de São Paulo saíram do ar nesta sexta-feira. Segundo os órgãos, seus sistemas não chegaram a ser afetados pelo ataque de escala mundial, mas a medida foi tomada para prevenir problemas. No Rio de Janeiro, quem sofreu foi a Previdência Social, segundo o jornal O Globo. Os computadores da Previdência e do Instituto Nacional do Seguro Social (INSS) tiveram de ser desligados. Na Petrobras, os funcionários foram instruídos a salvar seus trabalhos e desligar seus aparelhos por cerca de 15 minutos.
Esse tipo de vírus, que ao ser executado aparenta ser inofensivo e imita outros aplicativos, é o mais comum e representa 72,75% dos malwares, segundo os últimos relatórios das empresas Kaspersky Lab e PandaLab. As análises do Instituto Nacional de Cibersegurança (Incibe) demonstram que o software maligno que provocou o ataque cibernético em nível mundial é um WanaCrypt0r, uma variante do WCry/WannaCry. Depois de se instalar no equipamento, esse vírus bloqueia o acesso aos arquivos do computador afetado, pedindo um resgate, e pode infectar os demais computadores vulneráveis da rede. O WanaCrypt0r codifica arquivos do disco rígido com extensões como .doc .dot .tiff .java .psd .docx .xls .pps .txt e .mpeg, entre outras, e aumenta a quantia do resgate à medida que o tempo passa. “A criptografia dos arquivos prossegue depois do aparecimento do comunicado de extorsão, ao contrário de outros ataques, que não mostram a notificação enquanto a codificação não tiver sido completada”, explica Agustín Múñoz-Grandes, CEO da s21Sec.
“Esse tipo de ataque afeta todo o mundo, mas vimos que os criminosos tentar ir para as empresas, já que possuem informação valiosa pela qual estão dispostas a pagar resgate”, indica o estudo de Panda. Alguns especialistas em cibersegurança, como Jakub Kroustek, dizem que nas redes sociais foram rastreados cerca de 50.000 ataques do WannaCry. Esse mesmo perito afirma no blog de sua empresa, a Avast, que observaram a primeira versão desse vírus em fevereiro e encontraram a mensagem de resgate escrita em 28 idiomas.
Segundo Eusébio Nieva, diretor técnico da Check-Point na Espanha e Portugal, o ransomware é a estratégia mais utilizada para atacar as grandes empresas. “Os hackers pedem que o resgate seja feito por meio de um pagamento digital que não possa ser rastreado”, diz Nieva. O especialista explica que esse software maligno pode chegar a um sistema de modo bem simples, desde um correio eletrônico com uma fatura falsa, por exemplo, até uma técnica conhecida como watering hole, que no caso das grandes empresas infecta uma página (geralmente da rede intranet) que os funcionários ou usuários acessam com frequência. “Essa é a forma mais rápida para uma distribuição maciça”, afirma.
O perito diz, porém, que o pagamento de um resgate não é garantia de que se possa recuperar a informação criptografada pelo vírus: “A possibilidade é de 30% a 40%”. Mas, como é possível se proteger desses ataques? Segundo o especialista, na era em que os malwares deixaram de ser obra de atacantes individuais para se tornar uma rede industrializada que gera dinheiro, os tradicionais programas antivírus já não são suficientes. Os mais avançados em proteção, de acordo com Nieva, são os programas de anti-APP ou sandboxing, que rastreiam o comportamento do sistema ou da rede de informação, identificam qualquer software maligno e o eliminam.
“O sandboxingé o que funciona melhor. Quando chega um documento por correio eletrônico, por exemplo, o sistema o abre em um entorno virtual e, se detecta algo suspeito, o remove antes que chegue ao usuário”, explica o expert. O problema, segundo ele, é que se trata de um modelo recente e muitas empresas o utiliza simplesmente como um sistema de detecção em vez de proteção.
O Governo da Espanha emitiu um comunicado no qual orienta os possíveis afetados a aplicar os últimos procedimentos de reparo de segurança publicados nos boletins de maio.
Como o ransomware atua
Depois de criptografar os arquivos do disco rígido, o WanaCrypt0r muda o nome das denominações de extensão dos arquivos afetados para .WNCRY. Em seguida, o vírus faz saltar na tela a seguinte mensagem: “Ooops, os seus arquivos importantes estão codificados” e pede como resgate 300 dólares (940 reais, aproximadamente) em bitcoins (um tipo de moeda digital) para liberá-los. A mensagem inclui instruções sobre como realizar o pagamento e um cronômetro.
“Este ataque demonstra uma vez mais que o ransomware é uma poderosa arma que pode ser utilizada igualmente contra os consumidores e as empresas. O vírus se torna particularmente desagradável quando infecta instituições como hospitais, onde pode pôr em perigo a vida das pessoas”, afirma o Avast em um comunicado.
Ataque em Portugal
Em Portugal foi registrado um ataque cibernético que se concentrou na área de comunicação e no setor bancário e, segundo fontes da investigação, inclui a PT, Caixa Geral de Depósitos e BPI, embora as empresas não tenham admitido, informa Javier Martín de Lisboa. Apesar de o ataque ser muito amplo, somente a Portugal Telecom admitiu ter sido um alvo: “Todas as equipes técnicas estão adotando as medidas necessárias para resolver a situação. Foram ativados todos os planos de segurança. A rede dos serviços de comunicação fixa, móvel, internet e televisão não foi afetada”, diz a operadora. Os atacantes pedem resgate para o desbloqueio dos computadores bloqueados, e o querem em moeda virtual, o bitcoin, que neste momento chegou precisamente à sua cotação recorde, 1.800 dólares (cerca de 5.700 reais), e cujas transações não deixam rastro. A mensagem em português adverte que o valor do resgate (300 dólares) será duplicado num prazo de três dias e que se até sete dias a quantia não for paga, os arquivos serão destruídos. De acordo com a empresa de segurança S21Sec, o ataque afeta computadores com versões do Windows e programas muito populares, como Word e Excel, também da Microsoft, e os especialistas recomendam usar “de modo imediato” o procedimento de segurança MS17-010.
Fonte: El Pais