WannaCry: 12 mil computadores infetados em Portugal

Estima-se que 12 mil computadores foram infetados pela campanha viral de ransomware que deixou em polvorosa informáticos de todo o mundo.

[Sábado, 13 de Maio] surgem os primeiros avisos do estrangeiro sobre uma campanha de ransomware de grandes proporções (…) mais 12 mil computadores terão sido sequestrados pelo ransomware WannaCry em Portugal(…), com base na informação fornecida pelo coletivo de pertitos que travou a disseminação do WannaCry.

WannaCry, phishing, malware

[Assim estima-se] que mais de 10 mil máquinas infetadas estejam ligadas às telecomunicações (provavelmente clientes dos operadores de telecomunicações); 1.226 associadas à área da Internet; 28 ligadas aos setor automóvel; 16 às seguradoras; oito às redes de computadores; seis na área das tecnologias; e três na área do Governo (o Ministério da Justiça e a Serviço Partilhados do Ministério da Saúde tomaram medidas preventivas). (…) Estima-se que 13 empresas de renome terão sido infetadas pelo WannaCry.(…)

Num golpe elucidativo de alguma aselhice de quem lançou a campanha de ransomware, Hutchins, 22 anos de idade, logrou descobrir um interruptor virtual que, literalmente, trava o WannaCry. Para isso, bastou-lhe registar um endereço com vários carateres aparentemente aleatórios que poderia ser usado para conter este código malicioso. Por que é que há um grupo de hackers que indica, dentro do próprio código do vírus, um endereço que pode funcionar como killswitch (o tal interruptor que trava o código malicioso)? Só mesmo os misteriosos criadores do WannaCry poderão explicar.

A estranha existência de um killswitch haveria de revelar-se decisiva. Foi com base neste interruptor que se tornou possível impedir uma máquina infetada de procurar outras máquinas com o mesmo tipo de vulnerabilidade dentro de um grupo de utilizadores de uma empresa para disseminar o código malicioso. E por isso o MalwareTech e Marcus Hutchins não tardaram a divulgar essa informação para que os gestores de redes informáticas dos vários pontos do mundo fossem recorrendo ao tal killswitch, que mais não era que um endereço de Internet que Hutchins passou a gerir apenas e só porque os cibercriminosos nunca o registaram (e ainda por cima revelaram-no). (…)

Mesmo com este volte-face de última hora, o coletivo MalwareTech não conseguiu evitar que mais de 200 mil máquinas fossem infetadas. E também não conseguiu evitar que os cibercriminosos juntassem um pecúlio correspondente a quase 40 mil euros em bitcoins (uma moeda virtual cujo criador é desconhecido e que costuma ser usada como alternativa às moedas tradicionais em vários setores – entre eles o cibercrime).

O ransomware opera na mesma lógica de um sequestro. Um computador é infetado – e o cibercriminoso assume o controlo remotamente, mas em vez de apagar os dados, ou propagar uma mensagem de índole política, limita-se a aplicar uma tecnologia de encriptação, que impede o legítimo utilizador de continuar a usar o computador – a menos que pague um resgate.

No caso do WannaCry o resgate solicitado variava entre 275 e 550 euros. Tudo leva a crer que os autores desta campanha apostaram quase tudo na quantidade – e não em alvos precisos que estariam dispostos a pagar resgates chorudos. O que poderá ter exponenciado o número de infeções. Com uma agravante: o WannaCry pode ter sido mal implementado, mas recorre a uma criptografia que torna virtualmente impossível o acesso aos dados depois do ataque. (…)

Como é que os especialistas em segurança eletrónica conseguiram chegar à estimativa de quantas pessoas pagaram o resgate? Há mais uma aselhice dos hackers que ajuda a explicar este número: os cibercriminosos usaram apenas três wallets de bitcoins para receber os resgates… o que permitiu descobrir facilmente os valores coletados.(…)

Depois de uma fase de crescendo na passada sexta-feira, a disseminação do WannaCry acabou por ser travada no fim de semana, muito por força das folgas inerentes a esses dias. Nestes três dias, a Dognaedis contabilizou mais de 100 Indicators of Compromise (IoC), que podem ser comparados a vestígios que os códigos maliciosos deixam na Internet. (…)

 

Formação Relacionada

WannaCry, phishing, malware

Séneca, Hugo (2017). WannaCry: 12 mil computadores infetados em Portugal. Recuperado a 15 Maio 2017, de http://exameinformatica.sapo.pt/noticias/internet/2017-05-15-WannaCry-12-mil-computadores-infetados-em-Portugal