Especialista afirma que onda de ransomware pode estar ligada à Coreia do Norte

Por Redação | 16 de Maio de 2017 às 09h40
photo_camera Ivan Arce/Flickr

Quatro dias depois da onda de ataques de ransomware que assolou o mundo, um responsável ainda não foi apontado. Por mais que a disseminação do WannaCrypt tenha sido interrompida, empresas, governos e usuários, tenham sido vítimas ou não, querem saber quem estava por trás dos golpes, e uma nova teoria aponta laços entre o ocorrido e a Coreia do Norte.

A análise é do pesquisador de segurança da informação Neel Mehta, da Google, que encontrou similaridades entre o WannaCrypt, usado para sequestrar computadores ao redor do mundo, e outras pragas usadas pelo Lazarus Group. O time de hackers trabalharia a partir da China – país de onde, desde o início, se desconfiava que os golpes haviam partido –, mas em prol do governo norte-coreano.

A teoria surge a partir do texto usado para o pedido de resgate, exibido em inglês, mas claramente traduzido a partir de mecanismos automáticos. Ele conteria, segundo Mehta, sentenças em chinês bastante características, que teriam sido escritas por um nativo. Além disso, traria trechos semelhantes a outras pragas usadas pelo Lazarus Group para levantar fundos ou atacar alvos específicos, o que poderia indicar um reaproveitamento de código.

Ao apontar o dedo para o grupo hacker, o analista conta com o apoio da Kaspersky, uma das maiores empresas do mundo em segurança da informação, que citou sua descoberta como a pista mais significativa para localizar os responsáveis pelo WannaCrypt. Entretanto, ambos sabem que a prova é bastante circunstancial, e, sendo assim, pedem que a comunidade de segurança da informação continue a analisar a praga de forma a encontrar mais dados que possam levar aos culpados.

O Lazarus Group esteve envolvido em dois dos principais ataques hackers dos últimos anos. Foram eles os responsáveis por uma série de golpes a bancos de Bangladesh, no ano passado, e também da notória invasão aos servidores da Sony Pictures, em 2014. No último caso, o grupo chegou a assumir a autoria dos ataques e os citou como uma resposta ao filme A Entrevista, que ridiculariza a Coreia do Norte – o país nunca assumiu envolvimento. A praga da vez, apesar de ter a Europa como foco central, não parece ter fins políticos.

Pelo contrário, a ideia básica de um ransomware é, simplesmente, obter dinheiro a partir do sequestro das informações das vítimas. A falta de sofisticação do WannaCrypt, que, inclusive, incluía um mecanismo de desligamento simples, baseado no acesso a uma URL específica, indica não se tratar de um golpe arrojado, o que pode até afastar a possibilidade de envolvimento do Lazarus Group – algum criminoso pode ter copiado um código usado por eles, até como uma maneira de complicar as investigações.

Outro fato que apontaria contra um envolvimento dos hackers seria o fato de que Rússia e China estão entre os países mais afetados pelo WannaCrypt – o que iria contra um ataque orquestrado pelo governo da Coreia do Norte, que tem aliados em ambos. Sempre há, entretanto, a possibilidade de o Lazarus Group ter atacado por conta própria, talvez para obter fundos para financiar ações futuras.

Durante algumas horas da última sexta-feira (12), o WannaCrypt se espalhou por mais de 70 países, incluindo o Brasil, e infectou mais de 200 mil computadores. Empresas como a Telefónica e Santander foram as mais afetadas, mas, na visão de especialistas, o golpe não foi tão bem-sucedido assim, com cerca de US$ 60 mil pagos aos hackers, um valor considerado baixo para o escopo da operação.

Fonte: BBC

Instagram do Canaltech

Acompanhe nossos bastidores e fique por dentro das novidades que estão por vir no CT.