Mais de 126 mil 'infecções' identificadas em 99 países vítimas do ciberataque
Ciberataque global, descrito como sem precedentes em escala, obrigou a Renault a parar algumas linhas de produção, atingiu escolas na China e hospitais na Indonésia nesta sábado, embora se achasse que a contaminação já tinha acabado. Pesquisadores da fabricante de software de segurança Avast disseram ter observado 126.534 infecções por ransomware em 99 países, sendo a Rússia, Ucrânia e Taiwan os principais alvos. Segundo o Centro de Segurança Cibernética da Europol, será necessária uma investigação complexa para identificar culpados.
Os hackers, que não se apresentaram para reivindicar a responsabilidade ou de outra forma foram identificados, aproveitaram um worm, ou auto-propagação de malware, explorando um pedaço de NSA espião código conhecido como "Eternal Blue", que foi lançado no mês passado por um hackers grupo conhecido como Shadow Brokers, de acordo com pesquisadores com várias empresas privadas de segurança cibernética.
Capitalizando ferramentas de espionagem que se acredita terem sido desenvolvidas pela Agência Nacional de Segurança (NSA) dos EUA, o ataque cibernético infectou dezenas de milhares de computadores em quase cem países. O sistema de saúde do Reino Unido sofreu as piores interrupções.
Cyber extorsionistas enganaram as vítimas para abrir anexos maliciosos de malware a e-mails de spam que pareciam conter faturas, ofertas de trabalho, avisos de segurança e outros arquivos legítimos. Uma vez dentro da rede direcionada, o chamado ransomware fez uso de ferramentas de espionagem recentemente reveladas para infectar silenciosamente outras máquinas desatualizadas sem qualquer intervenção humana. Isso, dizem especialistas de segurança, marcou uma escalada sem precedentes no risco de novos ataques se espalhando nos próximos dias e semanas.
O ransomware criptografou dados nos computadores, exigindo pagamentos de US$ 300 a US$ 600 para restaurar o acesso. Os pesquisadores observaram que algumas vítimas pagavam através do bitcoin digital da moeda, embora ninguém saiba quanto pode ter sido transferido aos extortionistas devido à natureza anonymous em grande parte de tais transações.
A Renault disse que suspendeu a produção de automóveis em vários locais, incluindo Sandouville no noroeste da França e as unidades da Dacia, propriedade da Renault, na Romênia, no sábado, para evitar a propagação de ransomware em seus sistemas.
A fábrica da Nissan em Sunderland, no nordeste da Inglaterra, também foi afetada pelo ataque cibernético, embora "não tenha havido grande impacto em nossos negócios", disse um porta-voz da montadora japonesa.
O operador ferroviário alemão Deutsche Bahn disse que alguns sinais eletrônicos em estações anunciando chegadas e partidas foram infectados, com os viajantes postar fotos mostrando alguns com uma mensagem exigindo um pagamento em dinheiro para restaurar o acesso.
Europol diz que ataque é "sem precedentes"
O Centro Europeu de Cibercriminalidade da Europol afirmou que está trabalhando em estreita colaboração com investigadores nacionais e empresas privadas de segurança para combater a ameaça e ajudar as vítimas.
"O ataque recente está em um nível sem precedentes e exigirá uma investigação internacional complexa para identificar os culpados", disse em um comunicado.
Alguns especialistas afirmaramque a ameaça recuou por agora, em parte porque um pesquisador britânico, que se recusou a dar seu nome, registrou um domínio em que percebeu que o malware estava tentando se conectar e conseguiu limitar a propagação do vírus.
"Estamos em um declive, as infecções são extremamente poucas, porque o malware não é capaz de se conectar ao domínio registrado", disse Vikram Thakur, gerente de pesquisa principal da Symantec, acrescentando que "os números são extremamente baixos e estão caindo rapidamente."
Mas os atacantes ainda podem ajustar o código e reiniciar o ciclo. O pesquisador britânico amplamente apontado como o responsável por frustrar a proliferação ransomware disse à Reuters que ele não tinha visto qualquer ajustes ainda, "mas eles vão acontecer".
Pesquisadores disseram que o worm implantado no último ataque, ou ferramentas similares lançadas pela Shadow Brokers, provavelmente serão usados para novos assaltos, não apenas com ransomware, mas outros malwares para invadir empresas, conquistar controle de redes e roubar dados.
Os chefes de finanças dos países ricos do G7 se comprometeram neste sábado a unir forças para combater a crescente ameaça de ataques cibernéticos internacionais, de acordo com um projeto de declaração conjunta que deve ser divulgada como um dos frutos da reunião que está sendo realizada em Bari, na Itália.
"São necessárias respostas políticas adequadas a toda a economia", afirma o rascunh da declaração visto pela Reuters.
Hospitais na linha de fogo
Na Ásia, alguns hospitais, escolas, universidades e outras instituições foram afetados, embora a extensão total do dano ainda não seja conhecida porque é o fim de semana.
"Acredito que muitas empresas ainda não perceberam", disse William Saito, um conselheiro de segurança cibernética do governo do Japão, prevendo que a extensão do dano só será conhecida na segunda-feira, quando as pessoas voltarem ao trabalho.
O órgão de proteção da informação da China disse que "uma porção" de usuários de sistemas Windows no país estava infectada, de acordo com um comunicado publicado na página oficial Weibo da filial de Pequim do Departamento de Segurança Pública no sábado. Xinhua agência de notícias estatal disse que algumas escolas secundárias e universidades foram atingidas.
No Vietnã, Vu Ngoc Filho, diretor do Bkav Anti Malware, disse que dezenas de casos de infecção haviam sido denunciados, mas ele não quis identificar nenhuma das vítimas.
A agência de notícias Yonhap da Coréia do Sul informou que um hospital universitário havia sido afetado. Um funcionário de comunicações na Indonésia disse que dois hospitais haviam sido atingidos.
Os ataques mais perturbadores foram relatados no Reino Unido, onde hospitais e clínicas foram forçados a abandonar pacientes depois de perderem acesso a computadores na sexta-feira.
O exportador internacional FedEx Corp disse que alguns de seus computadores com Windows também foram violados. "Estamos implementando medidas de remediação o mais rápido possível", informou uma comunicado da FedEx.
A empresa de telecomunicações Telefónica estava entre muitos alvos na Espanha. A subsidiária empresa no Brasil também recomendou a seus funcionários que desligassem seus computadores para que medidas de segurança fossem tomadas. A Portugal Telecom e a Telefónica Argentina disseram que também foram alvo do ataque dos hackers.
Apenas um pequeno número de organizações sediadas nos Estados Unidos foram atingidas porque os hackers parecem ter começado a campanha focando metas na Europa, disse Thakur, da Symantec.
No momento em que eles voltaram sua atenção para os Estados Unidos, os filtros de spam identificaram a nova ameaça e sinalizaram os e-mails carregados de ransomware como maliciosos, acrescentou.
Windows reforçou defesas
Empresas de segurança privada identificaram o ransomware como uma nova variante do WannaCry (quero chorar em português) que tinha a capacidade de se espalhar automaticamente em grandes redes explorando um bug conhecido no sistema operacional Windows da Microsoft.
"Este é um dos maiores ataques globais de ransomware que a comunidade cibernética já viu", disse Rich Barger, diretor de pesquisa de ameaças com a Splunk, uma das empresas que ligou WannaCry à NSA.
Os Shadow Brokers lançaram Eternal Blue como parte de um tesouro de ferramentas de hacking que, segundo eles, pertenciam à agência de espionagem dos EUA.
O ataque foi dirigido a computadores Windows que não tinham instalado patches lançados pela Microsoft em março, ou máquinas mais antigas que executam softwares que a Microsoft não suporta e para os quais os patches não existiam, incluindo o sistema Windows XP de 16 anos.
A Microsoft afirmou que lançou atualizações automáticas do Windows para defender os clientes do WannaCry. A empresa informa que publicou um patch, em 14 de março, para proteger os sistemas do Eternal Blue. No fim de sexta-feira, a Microsoft também lançou patches para uma série de software descontinuado há muito tempo, incluindo o Windows XP eo Windows Server 2003.
"Hoje, nossos engenheiros adicionaram detecção e proteção contra novos softwares maliciosos conhecidos como ransom: Win32.WannaCrypt", informou a Microsoft em um comunicado na sexta-feira, acrescentando que estava trabalhando com os clientes para fornecer assistência adicional.
Tema politicamente sensível
A propagação do ransomware foi ápice de uma semana de turbulência cibernética na Europa, que começou quando os hackers tornaram públicos um tesouro de documentos de campanha vinculados ao candidato francês Emmanuel Macron, pouco antes do segundo turno da votação da eleição para a presidência da França, para o qual foi eleito.
Na quarta-feira, hackers interromperam os sites de várias empresas de mídia francesa e da gigante aeroespacial britânica Airbus.
O ataque ocorre quatro semanas antes das eleições gerais britânicas, nas quais a segurança nacional e a gestão do Serviço Nacional de Saúde, administrado pelo Estado, são questões importantes.
Autoridades britânicas têm sido preparadas para ataques cibernéticos na véspera da eleição, como aconteceu durante as eleições dos EUA no ano passado e na véspera da segunda volta dos franceses em 7 de maio.
Mas esses ataques - ao qual se tentou culpar a Rússia, que repetidamente negou - seguiram um modus operandi diferente, começando por entrar em contas de indivíduos e organizações políticas e, em seguida, liberar material hackeado on-line.
Na sexta-feira, os ministérios do Interior e Emergências da Rússia, bem como seu maior banco, Sberbank, disseram ter sido alvo de ransomware. O Ministério do Interior disse que cerca de mil computadores foram infectados, mas que havia localizado o vírus.
Embora os casos de extorsão cibernética venham aumentando há vários anos, eles têm até hoje afetado organizações de pequeno a médio porte.
- Ver uma grande empresa de telecomunicações como a Telefónica ser atingida vai deixar todo mundo preocupado - disse Chris Wysopal, diretor de tecnologia da Veracode, empresa de segurança cibernética.
ASSUNTOS: ataque cibernetico, ciberataque, Mundo