Enquanto as empresas afetadas ao redor do mundo pelo ransomware WannaCry
tentam se reorganizar, as atenções se voltam agora para descobrir quem promoveu
o ataque cibernético devastador.
O vírus foi espalhado
através de uma vulnerabilidade do sistema operacional Windows que havia sido
identificada pela Agência Nacional de Segurança dos Estados Unidos.
Os hackers se aproveitaram
da vulnerabilidade para infectar computadores em dezenas de países,
orquestrando um "sequestro" e pedindo um "resgate" dos
arquivos, que supostamente seriam liberados mediante um pagamento em bitcoins.
Até agora, ninguém parece
saber quem são os responsáveis ou onde eles estão.
O diretor de pesquisas da
empresa de segurança F-Secure, Mikko Hypponen, diz que as análises da companhia
ainda não conseguiram revelar de onde partiu o ataque.
"Estamos rastreando
mais de cem grupos de hackers diferentes, mas não temos informações sobre de
onde o WannaCry está vindo".
As pistas que podem revelar
quem estaria por trás do problema até agora são poucas e distantes entre si.
ode
ser útil para identificar os responsáveis
Análise
A primeira versão do vírus
apareceu no dia 10 de fevereiro e foi usada numa campanha de ataques curtos que
começou em 25 de março.
E-mails spams e websites de
"armadilha" foram usados para espalhar o WannaCry 1.0, mas quase
ninguém foi pego na primeira tentativa.
A versão 2.0 - que atingiu
milhares de pessoas na última sexta-feira - é muito parecida com a original, a
não ser pela inclusão de um módulo que transformou o vírus em uma espécie de
verme capaz de se propagar sozinho. Ou seja, nem era preciso clicar em nada
para ter o computador infectado, já que o vírus conseguia, ao entrar em uma
rede, invadir todas as máquinas dentro dessa rede.
De acordo com o Lawrence
Abrams, editor do site de notícias Bleeping Computer,
que rastreia ameaças virtuais, a análise do código interno do WannaCry revelou
pouco sobre o ataque.
"Em alguns casos
de ransomware, conseguimos pistas com base nos rastros dos
arquivos executáveis ou caso tenham feito o upload (dos vírus) para checar se
ele é detectável antes da distribuição", disse Abrams.
Essas pistas poderiam
apontar se o ataque é obra de algum grupo já estabelecido, mas até agora não é
possível ter certeza.
"Foi (um ataque)
bastante limpo", conclui ele.
Outros pesquisadores também
perceberam aspectos do vírus que sugerem que esse pode ser o trabalho de um
grupo novo.
Muitos apontam que o vírus
afeta facilmente os computadores que usam o alfabeto cirílico - usado, por
exemplo, pelos russos. Ao mesmo tempo, muitos dos vírus que estão sendo
distribuídos a partir da Rússia tentam justamente evitar de maneira ativa
atingir as pessoas daquele país.
Além disso, o horário
marcado no código infeccioso indica que ele partiu de uma máquina que está nove
horas atrás do horário GMT - o que sugere que os responsáveis estariam no
Japão, Indonésia, nas Filipinas ou no extremo oriente da China e da Rússia.
Deficiências
Há outras pistas sobre a
forma curiosa com a qual o WannaCry opera que sugerem que esse possa ser o
trabalho de alguém novo no ramo.
Para começar, o sucesso do
vírus foi quase que demasiado, já que ele fez mais de 200 mil vítimas - um
número muito maior que os afetados por ransomwares que
costumam alvejar grandes organizações. E administrar esse número enorme de
vítimas vai ser bem difícil.
Seja quem for que estiver
por trás do vírus, inadvertidamente o deixou deficiente por não registrar o
domínio no seu código central. E isso facilitou que o pesquisador especialista
em segurança Marcus Hutchins limitasse a propagação, já que Hutchins conseguiu
registrar e tomar o controle desse domínio.
Há ainda outros métodos
usados para administrar as máquinas infectadas pelo vírus - o mais conhecido
deles seria usar o software Tor, que proporciona o anonimato pessoal durante a
navegação pela chamada dark web -, e as atividades nesses endereços estão sendo
examinadas.
Segundo o professor Alan
Woodward, da Universidade de Surrey, na Inglaterra, há ainda outros artefatos
no código do vírus que podem ser úteis para os investigadores.
Um deles é verificar se o uso
do domínio que desativou a propagação do vírus, conhecido como
"kill-switch", foi consultado antes de o vírus ser enviado.
Ele ainda alerta que outras
informações podem ter sido incluídas no código do vírus por razões diferentes.
"Em alguns casos os criminosos
colocam bandeiras falsas para confundir e ofuscar", disse.
Dinheiro
O pagamento de
"resgate" exigido pelos hackers costuma ser na moeda virtual bitcoin.
A maioria dos ataques de
grande escala provocados por ransomwares geram
um endereço único de bitcoin para cada infecção. Isso facilita o trabalho dos
ladrões e garante que eles possam restaurar os arquivos somente das pessoas que
pagaram pelo resgate.
Mas o WannaCry usou três
endereços de bitcoin codificados para recolher pagamentos dos resgates, o que
dificulta a identificação de quem fez os pagamentos, assim como a devolução dos
arquivos às máquinas daqueles que efetuaram os pagamentos - isso levando em
conta que o grupo por trás do ataque tenha a intenção de devolver os arquivos
sequestrados.
Para James Smith, diretor executivo
da Elliptic, empresa que analisa as transações em bitcoin, os pagamentos na
moeda virtual podem ser a melhor forma de rastrear os criminosos, já que o
sistema registra quem gastou o quê.
Segundo ele, o bitcoin não
é tão anônimo quanto a maioria dos ladrões gostaria, porque toda transação fica
publicamente registrada na cadeia.
Isso poderia ajudar os
investigadores a montar o quebra-cabeças sobre o fluxo do dinheiro - de onde
ele está partindo e para onde está indo.
"Os criminosos são
motivados pelo dinheiro, então eventualmente esse dinheiro será coletado e
transferido. A grande questão é quando esse movimento será feito, e esperamos
que isso dependa de quanto seja pago em resgates nos próximos dias".
Atualmente, o total pago a
esses endereços de bitcoins é de mais de US$ 50 mil (R$150 mil).
"Todos estão olhando
para esses endereços com muito cuidado", disse Smith.
Fonte:BBC
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.