Pesquisadores de segurança cibernética encontraram pistas técnicas que disseram poder ligar a Coreia do Norte ao ataque cibernético global a ransomware WannaCry, que infectou mais de 300 mil máquinas em 150 países desde sexta-feira.
A Symantec e a Kaspersky Lab disseram nesta segunda-feira que alguns códigos em uma versão anterior do software WannaCry também apareceram em programas usados pelo Lazarus Group, que pesquisadores de diversas companhias identificaram como uma operação hacker comandada pela Coreia do Norte.
"É a melhor pista até agora sobre as origens do WannaCry", disse o pesquisador da Kaspersky LabKurt Baumgartner à Reuters.
Ambas as companhias informaram que ainda é muito cedo para dizer se a Coreia do Norte está envolvida nos ataques, que diminuíram nesta segunda-feira, mas já se tornaram uma das campanhas de extorsão mais rápidas já registrado.
A pesquisa das companhias será monitorada de perto por agências reguladoras ao redor do mundo, incluindo nos EUA, onde o assessor de segurança interna do presidente Donald Trump, disse nesta segunda-feira que países estrangeiros e criminosos cibernéticos são possíveis culpados.
As duas companhias disseram precisar estudar o código mais a fundo e pediram para que outras ajudassem com a análise. Hacker reutilizam códigos de outras operações, então mesmo linhas copiadas estão longe de serem provas.
Autoridades da segurança dos EUA e europeias disseram à Reuters em condição de anonimato que ainda é muito cedo para dizer quem pode estar por trás dos ataques, mas não descartam a Coreia do Norte como suspeita.
Os hackers Lazarus, agindo pela Coreia do Norte, têm sido mais descarados em busca de ganhos financeiros, e foram culpados pelo roubo de 81 milhões de dólares de um banco de Bangladesh. A missão da Coreia do Norte nas Nações Unidas não estava imediatamente disponível para comentários.
Independentemente da fonte do ataque, investidores foram atrás de ações de empresas segurança cibernética nesta segunda-feira, apostando que governos e corporações gastarão mais para atualizarem suas defesas.
Ganho pequeno
Os criminosos levantaram menos de 70 mil dólares de usuários que buscavam retomar acesso a seus computadores, de acordo com Tom Bossert, assessor de segurança interna de Trump.
"Não sabemos se os pagamentos levaram a quaisquer recuperações de dados", disse Bossert, acrescentando que nenhum sistema do governo federal foi afetado.
Alguns especialistas de segurança cibernética do setor privado disseram não ter certeza se o motivo do ataque foi principalmente ganhar dinheiro, destacando que a maior parte dos grandes ransomware e outros tipos de campanhas de extorsão cibernética arrecadam milhões de dólares.
"Acredito que isto foi espalhamento com o propósito de causar o maior dano possível", disse Matthew Hickey, cofundador da consultoria cibernética britânica Hacker House.
Nova versão de vírus responsável por ciberataques é encontrada, diz empresa¹
Uma nova versão do vírus "WannaCry", responsável pelo ciberataque de sexta-feira (12) que afetou 200 mil usuários em pelo menos 150 países, foi encontrada nesta segunda-feira (15), de acordo com a empresa de segurança digital Check Point Software. A nova ameaça, no entanto, já foi neutralizada, afirma a companhia.
A variável do "ransomware", tipo de vírus que bloqueia o acesso aos dados do computador até que seja paga uma quantia em dinheiro, infectava cerca de 3,6 mil computadores por hora, segundo Maya Horowitz, pesquisadora da Check Point.
A empresa diz que conseguiu evitar a disseminação do novo vírus – e o consequente dano aos dados das máquinas – usando um servidor para fazer um "kill switch", recurso que funciona como um botão de emergência do software.
A ameaça
O ciberataque de sexta é sem precedentes e exigirá investigação internacional para a identificação dos culpados, informa a Europol, o serviço europeu de polícia. A onda de ataques afetou o funcionamento de muitas empresas e organizações, como hospitais britânicos, a gigante espanhola Telefónica e a empresa francesa Renault. No Brasil, empresas e órgãos públicos de 14 estados mais o Distrito Federal também foram afetados.
Dezenas de milhares de computadores foram infectados na sexta por um vírus "ransonware", explorando uma falha nos sistemas Windows, exposta em documentos vazados da Agência Nacional de Segurança dos Estados Unidos (NSA).
O vírus de resgate usado no ataque cobrava entre US$ 300 e US$ 600 pagos na moeda digital Bitcoin, de difícil rastreamento.
Ciberataque global não trouxe grandes prejuízos ao Brasil²
O ciberataque realizado na última sexta-feira (12) e que afetou empresas privadas e instituições governamentais em diversas partes do mundo não trouxe grandes prejuízos ao Brasil.
Um dos órgãos atingidos foi o Instituto Nacional do Seguro Social (INSS), onde computadores foram infectados pelo vírus.
Segundo o INSS, o sistema está sendo reiniciado aos poucos, o que pode ocasionar atrasos pontuais no atendimento das agências.
Em alguns casos, os processos estão sendo feitos manualmente, o que pode atrasar a fila de atendimento.
O INSS já está funcionando normalmente e orienta os usuários que estavam com atendimento agendado para a última sexta-feira a entrar em contato pelo telefone 135 para receber as devidas orientações.
A central de atendimento também entrará em contato com os segurados.
“O INSS ressalta que o seu sistema não foi infectado, ou seja, os dados dos segurados em arquivo estão resguardados. Apenas as informações salvas nas máquinas atingidas foram criptografadas,” informou o órgão.
Prevenção
Algumas entidades, como o Operador Nacional do Sistema Elétrico (ONS), adotaram medidas de segurança para evitar que seus sistemas fossem atingidos.
“Todas as ações foram preventivas, nenhum sistema do ONS foi afetado. Na própria sexta-feira (12), o site do ONS foi retirado do ar e o acesso à internet foi bloqueado. Mas nossas atividades não foram interrompidas e a operação do sistema elétrico transcorreu sem incidentes”, informou o órgão. Já no sábado (13), às 13h40, o site do ONS voltou a funcionar normalmente.
A Petrobras também informou que, devido ao ataque global, bloqueou preventivamente algumas máquinas e reiniciou os seus microcomputadores executando antivírus e atualizações do Windows, “Nesta segunda-feira, estão sendo verificados computadores que não estavam em uso na sexta-feira e no fim de semana. A companhia não teve nenhuma perda identificada até o momento”.
Dúvidas
Em todo caso, o ataque cibernético levantou algumas dúvidas sobre como proteger de hackers as máquinas conectadas à internet.
Entre as medidas preventivas estão ter um backup (cópia de segurança) dos dados, manter sistemas com suporte e atualização de segurança e não usar sistemas piratas, informou o diretor da Associação Nacional dos Peritos Criminais Federais, Evandro Lorens.
Segundo ele, entretanto, ninguém no mundo estava preparado para esse ataque dos hackers, já que ele foi consequência de uma falha nos sistemas operacionais Windows que não foi prevista.
“Quando uma falha dessa é descoberta e usada antes de ser corrigida, o estrago é inevitável”, disse ele, explicando que esse problema específico já foi corrigido.
WannaCry
O ransomware (tipo de ciberataque hacker que infecta os computadores e depois cobra um resgate) WannaCry, que exigiu um pagamento na moeda digital ‘bitcoin’ para que o acesso aos computadores fosse recuperado, infectou sistemas de informática em todo o mundo, inclusive no Brasil.
Lorens explica que o uso de sistemas piratas é ilegal e prejudicial, na medida em que não oferece o suporte do fabricante. Então, mesmo que o usuário tivesse o conhecimento da correção, não conseguiria baixar a atualização.
Para ele, é preciso estimular no Brasil o uso de sistemas originais.
“No Brasil, é um fato que [os software originais] são caros. A gente precisa de manifestação e envolvimento do governo e agências governamentais de segurança, para que eles entrem nesse circuito e tratem com as empresas para tornar o preço acessível. Baixar o preço do produto original é uma das formas de combater a pirataria”, disse.
O perito explica que estar com as atualizações de segurança da máquina em dia é fundamental para corrigir falhas antigas, apesar de não evitar novas falhas.
Por isso, é importante ter um backup testado das informações, para serem reinstaladas após as atualizações.
Defesa cibernética
Para Evandro Lorens, esse tipo de ciberataque mostra a importância de o Brasil desenvolver uma estrutura de defesa cibernética, a exemplo do que existe em outros países, como o Reino Unido.
“Diante de um fenômeno desse, houve muitas reações dos órgãos de defesa cibernética. Aqui no Brasil, não se vê uma postura oficial e governamental sobre o assunto, apenas ações isoladas e cooperação informal entre os atores”, disse, explicando que o Brasil possui apenas uma estrutura “bem pequena” de defesa cibernética, que funciona dentro do Exército.
Segundo Lorens, ainda não existe nenhum chamado do governo ou da Polícia Federal para que este ataque específico seja investigado pelos peritos.
“Mas, se ocorrer, nós temos capacidade de fazer isso”, disse, explicando que o Brasil, apesar de não ter estrutura madura em relação à defesa cibernética, tem capacidade técnica e de pessoal para esse tipo de investigação.
Para a diretora-presidente do Serviço Federal de Processamento de Dados (Serpro), Glória Guimarães, à medida que os sistemas de segurança vão se sofisticando, os criminosos também vão.
“É importante acompanhar esse movimento, manter atualizadas as versões [de proteção] para que não tenhamos problemas ou que rapidamente se consiga entender o que houve e reparar os sistemas”, disse.
¹com G1 e ²EBC