O ataque hacker que atingiu 99 países nesta sexta-feira não tem precedente na história do cibercrime. Menos de 24 horas depois de identificado, já atingiu mais de 75.000 computadores e servidores ao redor do mundo. As instruções que aparecem na tela das vítimas foram preparadas em 28 idiomas diferentes, inclusive português. Todo esse planejamento e execução, realizados com precisão, dependem da existência de uma infraestrutura específica, investimento e organização.
“Tudo indica que é um grupo internacional. E não é um grupo pequeno”, diz Fábio Assolini, que faz parte da Equipe de Pesquisa e Análise Global da Kaspersky, empresa russa de segurança que descobriu a infecção virtual na noite de quinta-feira.
“Foi um ataque muito bem planejado e com objetivo financeiro claro. E foi arquitetado para afetar o maior número de vítimas, com pedido de resgate no idioma da vítima”, completa Assolini. O profissionalismo do grupo pode ser constatado até mesmo na programação do vírus. Apesar dos esforços de agências de internacionais, empresas de segurança e especialistas, até agora não foi possível identificar os responsáveis. “Sabe-se apenas que é um grupo muito organizado e provavelmente composto por pessoas de diversos países”, diz o especialista de cibersegurança Carlos Borges, da empresa de tecnologia Arcon.
Os hackers utilizaram uma brecha do sistema Windows para codificar os computadores atingidos, tornando-os inacessíveis para o usuário. Depois exigiram o pagamento de resgates no valor de 300 dólares (cerca de 940 reais) para desfazer a criptografia. Sem o código em poder dos bandidos, é impossível reaver os dados.
O impacto do bloqueio de informações varia. Uma empresa que mantenha tenha back-ups recentes, pode simplesmente reiniciar o sistema e utilizar a última versão de seus servidores, sem grande prejuízo. Mas as consequências também podem ser sérias. Na Inglaterra, por exemplo, o ataque fez com que 16 hospitais fossem obrigados a trabalhar sem seus equipamentos, o que comprometeu seriamente a capacidade de atender os pacientes. No Brasil, de acordo com Borges, dezenas de empresas foram atingidas, apesar de nenhuma assumir publicamente. Em diversos locais, os funcionários foram orientados a desligar os computadores como medida de precaução, para evitar o ataque.
Para receber o dinheiro o grupo criou dezenas de contas de bitcoin, uma moeda virtual usada para pagamentos na internet. Apesar dos especialistas recomendarem o que o resgate não seja pago, no começo da tarde já se podia verificar a movimentação nessas contas. Em apenas uma delas, foram pagos vinte resgates, no valor total de 6.000 dólares. O modelo de funcionamento da bitcoin, que é autogerenciada e não possui nenhuma instituição financeira ou governo por trás, garante que as transações aconteçam no anonimato e de forma não rastreável.
Cibercrime em expansão
A disseminação global de vírus de computadores não é novidade, mas este foi o primeiro ataque em massa que não dependeu da ação direta do usuário – como executar um arquivo ou clicar em um link malicioso – para infectar o sistema. Os cibercriminosos utilizaram-se de uma vulnerabilidade do Windows que permite tomar o controle de uma máquina apenas enviando um email para ela, mesmo que a mensagem não seja aberta.
Os ataques hackers são divididos basicamente em dois tipos: os ataques por ‘malware’, em que o vírus infecta o sistema para acessar informações ou causar danos (como impedir a reinicialização do computador), e por ‘ransomware‘, em que o criminoso sequestra os dados ao criptografá-los, deixando-os inacessíveis para o usuário, e exige o pagamento de resgate. A ação de hoje se enquadra no segundo tipo.
A falha de segurança foi solucionada pela Microsoft na ultima atualização de seu sistema, disponibilizada gratuitamente na segunda-feira, mas se o usuário não baixar a correção continua exposto. Por isso mesmo, o número de vítimas deve continuar subindo nos próximos dias.
Último ataque global que afetou este mesmo sistema aconteceu em 2008, de forma semelhante, mas levou meses para infectar 14 milhões de computadores, o que indica que não teve o mesmo tipo de planejamento e coordenação que se viu na ação desta sexta. Além disso, em geral, não houve danos aos usuários. A infecção podia ser facilmente debelada com a atualização do software, sem que houvesse criptografia dos dados ou pedido de resgate.
Desde então, o cibercrime se profissionalizou. “Existem grupos com perfil internacional, eles atuam e colaboram em diferentes localizações geográficas, promovendo ataques coordenados”, diz Assolini, da Kaspersky. Só entre 2013 e 2015, hackers roubaram 1 bilhão de dólares de bancos em 30 países diferentes.
Economia colaborativa
O ataque desta sexta foi possível graças a outra característica do cibercrime: a colaboração entre os hackers. A vulnerabilidade utilizada para assumir o controle dos computadores foi descoberta em abril por outro grupo, conhecido como Shadow Brokers, que disponibilizou na rede as ferramentas necessárias para o ataque. Especula-se que o grupo tenha consigo as informações ao invadir o sistema da Agência Nacional de Segurança (NSA), que teria originalmente descoberto a falha de segurança e a utilizado para espionagem.