Onda de ransomware foi interrompida “sem querer”, diz especialista

Poderia ser uma história de roteiro cinematográfico, mas aconteceu de verdade. Um especialista em segurança do Reino Unido foi o responsável por interromper a onda de ataques digitais que assolou mais de 70 países do mundo na última sexta-feira (12). Tudo sem querer.

O analista de segurança resolveu não se identificar, chamando a si mesmo apenas como Malwaretech e afirmando trabalhar para uma empresa britânica de segurança especializada, justamente, em analisar o escopo de infecções desse tipo e buscar soluções para contenção por meio de engenharia reversa. Só que, na última semana, ele estava de folga e decidiu trabalhar em um projeto pessoal ao perceber o tamanho da onda de ataques, que atingia infraestrutura básica de países europeus, bancos e empresas de telecomunicações.

Analisando o código do WannaCrypt, ransomware que estava assustando o mundo, Malwaretech percebeu que ele tentava se conectar, a cada infecção, a uma URL composta por letras e números aleatórios. Como o processo era realizado a cada tentativa, ele seria o melhor meio de avaliar a disseminação da praga, o que levou o especialista a registrar o domínio. O processo é comum em seu trabalho, e, para montar um mapa de disseminação do malware, ele desembolsou £ 8, o equivalente a pouco mais de R$ 30.

Inicialmente, com o pânico generalizado, acreditou-se que o registro da URL é que teria sido o responsável pelo início das ações com a praga, algo que ficou provado como errado quando se analisou que, antes mesmo da ação, ele já estava ativo. Os ataques teriam começado às 8h da manhã no horário local, enquanto o domínio só foi ativado por Malwaretech às 14h30. Ainda assim, ele decidiu isolar as requisições em um servidor privado, de forma que elas chegassem, mas não fossem computadas pelo ransomware.

A verdade era o total oposto e, no fim das contas, as ações do especialista levaram ao fim da infecção. O acesso à URL, na verdade, funcionava como um mecanismo de desligamento – caso a requisição fosse mal-sucedida, pois o domínio não existia, a infecção acontecia. Com o acesso acontecendo, entretanto, a praga deixava de operar, algo que o analista percebeu quando, rodando o WannaCrypt em uma máquina virtual isolada, ele deixou de bloquear os arquivos e fazer pedidos de resgate.

A descoberta, claro, não causava efeito algum sobre sistemas já infectados. Acredita-se que, durante as horas em que o malware esteve em ação, mais de 200 mil máquinas ao redor do mundo tenham sido contaminadas – muitas delas em ambiente corporativo –, com os hackers responsáveis tendo recebido cerca de R$ 88 mil em pagamentos de usuários desesperados para restabelecerem o acesso a seus arquivos pessoais.

Para evitar a continuidade da disseminação do WannaCrypt, Malwaretech se comprometeu a manter o registro do domínio usado pelos hackers indefinidamente. Entretanto, alerta que essa medida está longe de ser a solução. Por mais que ela tenha interrompido a atual onda de ataques, nada impede que os próprios responsáveis, ou outros, simplesmente mudem a URL de verificação da praga – ou abram mão desse mecanismo inteiramente –, voltando a liberar uma praga que tente infectar sistemas de todo o mundo. Algo que, de acordo com o especialista, já estaria acontecendo, mas sem o alcance da praga original.

Ao final do texto, o analista parabeniza a ação da Microsoft, que liberou uma atualização sem precedentes para sistemas operacionais já obsoletos, como o Windows XP, além de agências governamentais. Ele cita o governo britânico pelo cuidado de não confundir o servidor operado por ele com uma possível ação criminosa e também o FBI, por manter contato e compartilhar informações relacionadas às vítimas nos Estados Unidos.

Fonte: Ars Technica