Ciberataque: O que é e como funciona?

Na passada sexta-feira, 12 de Maio, um ciberataque atingiu dezenas de milhares de computadores em todo o mundo, através da dispersão de um software malicioso ("malware") que bloqueia o uso das máquinas, encriptando os ficheiros e fazendo depender a sua reactivação do pagamento de um resgate. 

 

Em causa está um "ransomware" chamado WannaCry – também conhecido por WanaCrypt0r 2.0, WannaCry e WCry – que é disseminado através de e-mails que convidam o utilizador a abrir anexos ou carregar em links.

 

Estas acções fazem, na verdade, com que esse "malware" comece a correr no computador, acabando por bloquear os ficheiros e codificá-los, impossibilitando o acesso. Em seguida, o software gera uma mensagem que ocupa todo o ecrã e exige o pagamento de um resgate, em bitcoins (moeda virtual), para que o utilizador possa recuperar o acesso ao seu computador.

 

Segundo o Telegraph, que cita especialistas em segurança, não é garantido que o utilizador recupere o acesso à máquina, mesmo após o pagamento do montante pretendido pelos "hackers". Em alguns casos, estes voltam a exigir mais dinheiro aos utilizadores, ameaçando apagar definitivamente os ficheiros.

 

Quem foi afectado?

A Europol estima que o ciberataque desencadeado na sexta-feira passada tenha alcançado pelo menos 150 países e bloqueado mais de 200 mil computadores. No Reino Unido, o Serviço Nacional de Saúde foi fortemente afectado, impedindo o acesso aos dados dos doentes e obrigando hospitais a desviar pacientes para outros estabelecimentos. Em Portugal, a Portugal Telecom confirmou o ataque, enquanto a EDP, a Vodafone e a KPMG - que tinham sido apontadas como alvos – vieram a negar que tenha havido impacto nos seus sistemas.

 

A Rússia, a Ucrânia e Taiwan estão entre os principais alvos, segundo a Avast. A FedEx, a espanhola Telefónica, a Telefónica Argentina, a Renault e a alemã Deutsche Bahn estão também entre as empresas afectadas. Em estações de comboio, na Alemanha, as mensagens dos hackers surgiram nos ecrãs das estações. 

Germany's main train operator Deutsche Bahn was attacked by ransomware based on leaked NSA tools. pic.twitter.com/hP66QZT1cQ

— Pamela Moore (@Pamela_Moore13) 12 de maio de 2017

 

Todos os computadores são alvos potenciais?

O WannaCry afecta apenas computadores com o sistema operativo Windows. O software explora uma vulnerabilidade da Microsoft, que desenvolveu uma "patch" em Março para proteger os utilizadores do "Eternal Blue" (uma ferramenta de "hacking"), mas que não foi actualizada em vários sistemas alegadamente por responsabilidade dos seus proprietários.

 

Os especialistas acreditam que os utilizadores domésticos correm menos riscos de ser afectados, devendo, contudo, garantir a actualização dos sistemas e ter cuidado com a abertura de anexos e links através de emails.

 

Como é que os utilizadores se podem proteger?

O centro nacional de cibersegurança do Reino Unido publicou, no seu site, alguns conselhos para os utilizadores domésticos. Estes devem correr o Windows Update e assegurar-se de que o antivírus está actualizado e fazer uma verificação. Por fim, os especialistas aconselham fazer um backup de dados importantes.

 

A prevenção, salientam, é a melhor forma de defesa.

 

Quem está por detrás do ataque?

 

Um grupo de hackers chamado "Shadow Brokers" está a ser apontado como autor do ataque. A organização disse, em Abril, ter roubado uma "arma cibernética" da Agência Nacional de Segurança (NSA) norte-americana.

 

A ferramenta de "hacking", chamada "Eternal Blue" dá acesso a computadores que utilizam o Windows, e terá sido desenvolvida pela NSA para entrar em computadores usados por terroristas e Estados inimigos.

 

Os especialistas acreditam que este grupo lançou esta ferramenta num "site obscuro" a 14 de Abril, que terá sido capturada por outra organização para ter acesso a computadores em todo o mundo.

 

Como se trava a disseminação do software malicioso?

Um perito inglês em cibersegurança, com 22 anos e responsável pelo ‘site’ MalwareTech, assumiu ter travado acidentalmente o ciberataque de sexta-feira.

O ataque terá sido travado interrompendo o efeito destrutivo no código do software malicioso e impedindo que se alastrasse a mais computadores. Segundo a BBC, o investigador reparou que o software estava insistentemente a tentar contactar um endereço específico de internet que não se encontrava, contudo, registado em nome de ninguém.

Com cerca de 10 dólares comprou o registo do endereço e a partir daí conseguiu perceber o rasto dos ataques e dos pedidos de resgate que eram feitos e alterar o código introduzindo-lhe um "kill switch", um género de interruptor de emergência. 

"Há muito dinheiro envolvido. Eles [os atacantes] não têm razão para parar. Não é preciso muito esforço para mudarem o código e começarem de novo," alerta, sugerindo que isso permitirá que voltem à carga "muito em breve," afirmou o especialista.

Leia Também

Piratas informáticos que roubaram filme da Disney exigem resgate para não o divulgarem

Warning for Monday: If you turn on a system without the MS17-010 patch and TCP port 445 open, your system can be ransomwared.

— MalwareTech (@MalwareTechBlog) 15 de maio de 2017

 

O FBI e a NSA começaram a trabalhar no final de sexta-feira passada, a pedido do presidente norte-americano, para tentarem apurar a origem dos ataques. Segundo as informações do Centro Nacional de Cibersegurança, em Portugal, o ataque poderá ter tido origem no Brasil, mas não há confirmação oficial dessa origem.