Entenda o ciberataque que afetou mais
de 200 mil PCs em 150 países

Por Redação Olhar Digital

Um ataque virtual de proporções globais atingiu pessoas, empresas e instituições no mundo todo, incluindo hospitais públicos do Reino Unido e grandes corporações na Espanha, como Santander e Telefónica. E embora o ataque e suas consequências tenham sido imensas, existe a possibilidade de que ele pudesse ter sido evitado.

De acordo com autoridades europeias, mais de 200 mil computadores foram infectados. Embora os ataques mais notórios tenham acontecido na Europa Ocidental, o país com maior número de PCs vitimados foi, de longe, a Rússia. O Brasil, no entanto, também teve diversos casos; de acordo com um relatório da Avast, o país foi o quinto mais afetado.

O WannaCry

Segundo a Kaspersky, o malware (chamado de "WannaCry") é um ransomware - um arquivo nocivo que criptografa todos os dados contidos no computador invadido e só os decifra após receber um pagamento em bitcoin. No caso dos PCs afetados por esse ataque, o valor inicial era de US$ 300, mas a ferramenta ameaçava aumentar o valor caso o pagamento não fosse feito em até duas horas.

Segundo a empresa de segurança, o "WannaCry" é uma família de malwares feita para atacar usuários de diversos países diferentes. Prova disso é o fato de que seu "manual" (o texto que indica à vítima o que fazer para recuperar seus dados) pode ser facilmente traduzido para diversas línguas, como mostra a imagem abaixo:

Uma vez iniciado, o malware imediatamente inicia outros processos que mudam as permissões de arquivos e se comunicam com outros servidores por meio da rede Tor. Uma análise das carteiras de bitcoin usadas para receber pagamentos para decifrar os arquivos das vítimas revelou que os responsáveis receberam pelo menos US$ 95 mil em resgates para liberação das máquinas infectadas.

Tragédia anunciada

A Kaspersky relata que o ataque é possível graças a uma falha de segurança do Windows conhecida como "EternalBlue". A Microsoft publicou no dia 14 de março uma atualização que conserta essa falha, mas muitos computadores não foram atualizados, o que ajuda a explicar o sucesso do ataque.

Essa falha foi revelada num vazamento de dados da NSA (agência de segurança digital dos EUA) feito em abril pelo grupo de hackers conhecido como Shadow Brokers. A presença da brecha no pacote vazado pelos hackers sugere que o governo dos EUA já sabia da existência do problema, mas não o divulgou com a intenção de usá-lo como arma num eventual ataque cibernético. Os Shadow Brokers já haviam vazado dados da NSA em outras ocasiões.

São, portanto, dois pontos nos quais o incidente poderia ter sido evitado. Primeiramente, se a NSA tivesse divulgado as falhas no momento em que as descobriu, os usuários do Windows poderiam ter se protegido de ataques como esse desde muito antes. Segundo, há a questão de que muitos usuários demoram para receber ou instalar as atualizações do sistema operacional, o que torna suas máquinas vulneráveis.

Empresas afetadas

No Brasil, diversas empresas foram afetadas pelo ataque. De acordo com leitores do Olhar Digital, empresas prestadoras de serviço como a Vivo, Nextel e NET paralisaram suas atividades para lidar com o problema ou como forma de precaução. Alguns usuários relatam que antes da mensagem aparecer, seus computadores ficaram se reiniciando diversas vezes.

Alguns serviços públicos, como o INSS, também foram afetados. Os sistemas do Ministério Público e do Tribunal de Justiça de São Paulo também saíram do ar. Ao menos dez máquinas do TJ-SP em São José do Rio Preto foram afetadas.

A recomendação é de que que todos os computadores de empresas estejam atualizados com o patch de segurança oficial da Microsoft (que pode ser baixado por meio deste link) e tenham soluções de proteção instalada. Ainda assim, é recomendável que todos os PCs vulneráveis sejam escaneados novamente.

Como se proteger do WannaCry

O ataque do dia 12 de maio pegou o mundo de surpresa, com centenas de milhares de infecções, mas ele é facilmente contornável com cuidados básicos com segurança de informação.

Antes de fazer qualquer coisa, o necessário é atualizar o seu Windows, uma vez que a falha utiliza uma brecha no sistema operacional vazada pela NSA. O pacote de correção já está disponível desde março.

Você precisa baixar a atualização registrada como MS17-010, lançada em 14 de março deste ano. O update vale para todas as versões do Windows a partir da era Vista, incluindo Windows 7, Windows 8 e, é claro, o Windows 10. A correção resolve uma vulnerabilidade no protocolo de transferência de arquivos do sistema, o SMB.

Nesta página você encontra o link para download, diretamente do site da Microsoft, dos pacotes de atualização para cada versão do sistema operacional. Você precisa saber se o seu PC roda em um processador de 32 ou de 64 bits - para isso, clique com o botão direito em "Meu computador", na pasta de arquivos da sua máquina, e depois em "Propriedades".

De quem é a culpa pelo tamanho do
estrago causado pelo WannaCry?

Quando um desastre cibernético como o de 12 de maio acontece, a primeira coisa a se fazer é entender de onde ele vem e tomar as precauções para se defender. A segunda é distribuir a culpa para quem merece.

Neste caso específico, o cibercrime é, claro, o principal culpado, mas existem pelo menos três outras partes envolvidas no mega-ataque que também são responsáveis por negligência e por não fazerem o necessário para impedir que o estrago acontecesse.

Culpado número 1: governo dos EUA

Independentemente de você concordar ou não com esse método, o problema dessa abordagem é simples. Uma porta aberta pode ser usada tanto para o bem quanto para o mal. O modo ético de ação hacker ao descobrir uma vulnerabilidade é o de revelá-la aos responsáveis para que a solucionem antes que o cibercrime possa aproveitá-la. Se você descobre uma brecha para uso próprio e ela permanece aberta, é muito provável que o cibercrime também vá descobri-la.

No caso do WannaCrypt0r 2.0, ou WannaCry, a brecha só foi descoberta quando foi vazada por um grupo identificado como Shadow Brokers, e nada disso teria acontecido se a agência tivesse alertado a Microsoft antes.

Culpado número 2: Microsoft

Existem dois pontos contra a Microsoft. O primeiro é simplesmente ter permitido essa falha em seus sistemas operacionais. Claro que não existe software perfeito ou à prova de hackers, e é por isso que essa é a menor das culpas.

O segundo ponto é mais importante. O Windows Update, sistema de atualizações do Windows, oferece uma experiência terrível para o usuário, e não é surpresa que muitos simplesmente evitem atualizar seus computadores e procurem formas de evitar a instalação dos pacotes de correção.

O sistema frequentemente interrompe o usuário, exigindo uma reinicialização do computador em momentos inoportunos. A empresa até tem tomado medidas com o Windows 10 para dar maior controle para o usuário definir horas em que o computador pode ser atualizado, mas outras versões, que foram mais afetadas pelo ataque, não ganharam esse recurso.

Para completar, não é incomum que atualizações do Windows causem problemas de compatibilidade. Há pouco tempo, um update do Windows 10 gerou transtornos a quem usa dois monitores. Em 2013, o pacote KB2823324 aparentemente entrou em conflito com um plugin para internet banking usado por vários bancos, causando a famosa tela azul da morte no Windows 7.

Culpado número 3: empresas e profissionais de TI

A Microsoft pode ter várias falhas na forma que distribui suas atualizações, mas as empresas também precisam tomar as devidas precauções. Se a Microsoft liberou um pacote de correção considerado crítico, é responsabilidade da empresa e do setor de TI fazer as devidas atualizações, mesmo que elas sejam um transtorno temporário para funcionários.

Sim, é possível adiar uma atualização por alguns dias ou talvez até mesmo algumas semanas para garantir que não haja incompatibilidade. No entanto, o pacote de correção que evitaria o WannaCry, definido claramente pela Microsoft como "crítico", estava disponível desde março, totalizando quase dois meses de exposição. É tempo demais para uma brecha desse nível permanecer aberta; a precaução passa a ser negligência.

Kaspersky aponta conexão
entre Coreia do Norte e o
ransomware WannaCry

A empresa de segurança Kaspersky fez alguns apontamentos sobre o WannaCry, que podem vincular o malware à Coreia do Norte. Se confirmado, a ação poderia ser um ato de ciberguerra em vez de apenas um ato meramente criminoso.

De acordo com a empresa, uma boa parte do código de uma versão antiga do WannaCry, de fevereiro de 2017, também é encontrada em um malware de fevereiro de 2015 atribuído ao Lazarus Group, grupo hacker que tem laços com o governo norte-coreano.

A conexão foi identificada primeiro por Neal Mehta, mas ele só apontou a similaridade entre os dois códigos. A Kaspersky foi além, no entanto. "Nós acreditamos fortemente que a amostra de fevereiro de 2017 foi compilada pelas mesmas pessoas ou por pessoas com acesso ao código-fonte do WannaCry usado na onda de ataques de maio", afirma a empresa.

A Kaspersky, inclusive, não é a única a identificar a conexão. A Symantec também observou as similaridades, mas apontou que elas ainda são frágeis demais para se chegar a qualquer conclusão definitiva.

O fato é que ainda é muito cedo para apontar dedos com convicção para possíveis autores do ataque. As similaridades podem ter origens diversas. Como ressalta o site The Verge, os criadores do WannaCry podem ter apenas copiado uma parte do código da amostra do Lazarus Group. Sabe-se que o ataque partiu do vazamento de um código usado da NSA; nada impede que uma outra parte tenha sido obtida com vazamentos do governo da Coreia do Norte.

Quem é o Lazarus Group?

O Lazarus Group é um grupo hacker que tem alguns ataques bastante notáveis em seu currículo. O mais famoso deles foi realizado contra a Sony Pictures em 2014, travando computadores da empresa com ransomware e vazando filmes que ainda não haviam sido lançados.

O ataque foi prontamente atribuído à Coreia do Norte, ao ponto de o então presidente dos EUA, Barack Obama, prometer retaliações. Em 2016, eles também foram acusados de estar por trás de um ciberataque que culminou no roubo de US$ 81 milhões de um banco de Bangladesh.

Brasil está à beira de um apagão
digital, alertam especialistas

Os graves ataques virtuais de 12 de maio colocaram em risco a segurança de milhões de usuários no mundo inteiro, principalmente na Europa. O Brasil, que parecia estar geograficamente longe dos problemas, também foi afetado e corre sério risco de ter um apagão digital. E o principal motivo para isso é a falta de conscientização dos usuários em relação a segurança dos dados.

Procurados pelo Olhar Digital, os especialistas em cibersegurança Rafael Narezzi e Ricardo Tavares acreditam que o nosso país ainda carece de defesas eficientes para evitar que os hackers obtenham acesso às conexões de usuários, empresas e até de instituições governamentais. Os casos recentes apenas endossam essa tese.

Na prática, os criminosos aproveitam brechas de segurança deixadas pelos usuários finais ou empresas para realizarem os ataques. Em um exemplo simples, os especialistas mostraram que há milhares de dispositivos no Brasil com acesso à internet e que não estão guardados por senhas ou que estão "protegidos" por códigos de acesso extremamente simples ou padronizados, como "admin" ou "123456", por exemplo.

"Quando se fala em apagão, significa que diversos dispositivos desprotegidos estão sendo usados para atacarem uma grande empresa ou órgão. Mesmo com diversos recursos de proteção, ela pode não conseguir evitar um ataque dessa grandeza. No final, tudo se resume a largura de banda", explica Tavares.

Ameaças em grande escala

A situação mais crítica é quando a rede de uma empresa pode ser acessada por qualquer pessoa. E, nesse caso, não estamos falando apenas de um computador alheio desprotegido, mas também de dispositivos conectados, como impressoras, scanners e até mesmo cafeteiras inteligentes.

No caso das impressoras, por exemplo, ao obter acesso ao aparelho, um usuário malicioso pode solicitar a impressão de imagens pornográficas envolvendo menores de idade e, então, realizar uma denúncia para a polícia informando que aquele local em questão está envolvido com casos de pedofilia. Até que o usuário afetado consiga se explicar, as consequências podem já ser irreversíveis.

Apesar do cenário parecer surreal, os entrevistados mostraram na prática como ele poderia ter acontecido. Em um banco de dados público disponibilizado na internet, há uma série de dispositivos que estariam desprotegidos. Uma universidade estadual brasileira bastante conceituada no mundo acadêmico, por exemplo, deixou algumas de suas impressoras configuradas com uma senha de fácil acesso. Se quisesse, o especialista poderia ter realizado a impressão de diversos documentos ou fotos.

Mas não é apenas a segurança dos dados que está em jogo. A própria saúde física das pessoas também pode ser afetada no caso de um ataque a um hospital, como aconteceu hoje. "Já existem uma série de dispositivos médicos conectados que estão passíveis de ataque. Imagine uma bomba de insulina sendo administrada por um hacker? A dosagem errada poderia matar o paciente", explica Narezzi.

Governo e empresas responsabilizados

Quando explicamos que os usuários brasileiros estão vulneráveis, podemos responsabilizar também os órgãos governamentais por isso. Diferentemente de outros países, como a Inglaterra que possui leis mais rigorosas para penalizar quem fizer uso indevido do computador, o Brasil ainda caminha bem devagar nas políticas para coibir esses crimes.

Como se proteger

Se você também é parte do problema, está na hora de se tornar uma solução. "A dica é prevenir, não remediar", aconselha Tavares. Assim, mantenha seu PC e os softwares de proteção atualizado, coloque e realize alterações periódicas de senhas fortes (que combinem letras, números e símbolos) em todos os seus dispositivos com acesso à internet e tenha cautela na hora de abrir arquivos desconhecidos.