Sexta-feira, 12 de maio, de manhã. Francisco, Papa de Roma e líder católico, tem chegada agendada para esse dia na Base Aérea de Monte Real. Todo o país está de prevenção. Multiplicam-se as fiscalizações nas fronteiras e a GNR faz vistorias aleatórias entre quem espera pelas primeiras palavras do Papa no santuário de Fátima. O Centro Nacional de Cibersegurança (CNCS) também destacou mais operacionais, para fazer frente a alguma eventualidade. «É uma coisa normal em determinados eventos e datas, como eleições», explica Pedro Veiga, coordenador do CNCS.
Ainda antes de Francisco aterrar em Portugal, surgem os primeiros avisos do estrangeiro sobre uma campanha de ransomware de grandes proporções. Além do estado de alerta do CNCS, há outro fator capaz de mitigar os efeitos do WannaCry em Portugal: o Governo deu tolerância de ponto à Administração Pública e muitos dos computadores estatais não chegaram a ser ligados nesse dia. O que não livrou todas as máquinas de um mal pior: mais 12 mil computadores terão sido sequestrados pelo ransomware WannaCry em Portugal, informa a Anubisnetworks, com base na informação fornecida pelo coletivo de peritos que travou a disseminação do WannaCry.
A Anubisnetworks estima que mais de 10 mil máquinas infetadas estejam ligadas às telecomunicações (provavelmente clientes dos operadores de telecomunicações); 1.226 associadas à área da Internet; 28 ligadas aos setor automóvel; 16 às seguradoras; oito às redes de computadores; seis na área das tecnologias; e três na área do Governo (o Ministério da Justiça e a Serviço Partilhados do Ministério da Saúde tomaram medidas preventivas). A Anubis estima ainda que 13 empresas de renome terão sido infetadas pelo WannaCry.
A Anubisnetworks é uma empresa de segurança eletrónica portuguesa que se especializou em ferramentas de proteção do correio eletrónico e que começou a ganhar clientes com uma rede de sensores dispersos pela Internet que permite conhecer, em tempo real, as diferentes tendências de contágio na Internet. Com o WannaCry, a startup portuguesa que foi adquirida pela inglesa BitSight, recorreu a uma fonte de informação diferente: «solicitámos informação junto do coletivo de especialistas que conseguiu travar o WannaCry», explica João Gouveia, diretor tecnológico da Anubisnetworks.
O MalwareTech, o coletivo de especialistas que conseguiu travar o contágio do WannaCry, pode ter ficado com parte dos louros de ajudar a salvar o mundo de males maiores, mas é a Marcus Hutchins – e também a uma certa ponta de sorte – que esse feito terá ser creditado.
Num golpe elucidativo de alguma aselhice de quem lançou a campanha de ransomware, Hutchins, 22 anos de idade, logrou descobrir um interruptor virtual que, literalmente, trava o WannaCry. Para isso, bastou-lhe registar um endereço com vários carateres aparentemente aleatórios que poderia ser usado para conter este código malicioso. Por que é que há um grupo de hackers que indica, dentro do próprio código do vírus, um endereço que pode funcionar como killswitch (o tal interruptor que trava o código malicioso)? Só mesmo os misteriosos criadores do WannaCry poderão explicar.
A estranha existência de um killswitch haveria de revelar-se decisiva. Foi com base neste interruptor que se tornou possível impedir uma máquina infetada de procurar outras máquinas com o mesmo tipo de vulnerabilidade dentro de um grupo de utilizadores de uma empresa para disseminar o código malicioso. E por isso o MalwareTech e Marcus Hutchins não tardaram a divulgar essa informação para que os gestores de redes informáticas dos vários pontos do mundo fossem recorrendo ao tal killswitch, que mais não era que um endereço de Internet que Hutchins passou a gerir apenas e só porque os cibercriminosos nunca o registaram (e ainda por cima revelaram-no).
«O principal vetor de contágio era o e-mail, mas sabia-se que bastava uma máquina infetada para disseminar o código malicioso por máquinas com a mesma vulnerabilidade que operem na mesma rede de uma empresa. Agora imaginemos que uma máquina infetada está ligada a duas redes… podemos concluir o que acontece a seguir», explica Paulo Rosado, consultor da DXC Technology (a nova denominação da HP Entreprise).
Mesmo com este volte-face de última hora, o coletivo MalwareTech não conseguiu evitar que mais de 200 mil máquinas fossem infetadas. E também não conseguiu evitar que os cibercriminosos juntassem um pecúlio correspondente a quase 40 mil euros em bitcoins (uma moeda virtual cujo criador é desconhecido e que costuma ser usada como alternativa às moedas tradicionais em vários setores – entre eles o cibercrime).
O ransomware opera na mesma lógica de um sequestro. Um computador é infetado – e o cibercriminoso assume o controlo remotamente, mas em vez de apagar os dados, ou propagar uma mensagem de índole política, limita-se a aplicar uma tecnologia de encriptação, que impede o legítimo utilizador de continuar a usar o computador – a menos que pague um resgate.
No caso do WannaCry o resgate solicitado variava entre 275 e 550 euros. Tudo leva a crer que os autores desta campanha apostaram quase tudo na quantidade – e não em alvos precisos que estariam dispostos a pagar resgates chorudos. O que poderá ter exponenciado o número de infeções. Com uma agravante: o WannaCry pode ter sido mal implementado, mas recorre a uma criptografia que torna virtualmente impossível o acesso aos dados depois do ataque.
«Há técnicas de análise forense que permitem recuperar os dados de um computador que tenha sido alvo de ransomware, mas não produzem resultados garantidos. É possível que muita gente acabe por perder dos dados», explica Francisco Rente, líder da empresa de segurança Dognaedis
Como é que os especialistas em segurança eletrónica conseguiram chegar à estimativa de quantas pessoas pagaram o resgate? Há mais uma aselhice dos hackers que ajuda a explicar este número: os cibercriminosos usaram apenas três wallets de bitcoins para receber os resgates… o que permitiu descobrir facilmente os valores coletados.
Mas houve muitos mais aselhas nesta campanha viral: «O WannaCry tirou partido de uma vulnerabilidade que já é há muito conhecida e para a qual a Microsoft lançou um patch em março. Como é que há empresas que não instalaram o patch? Por sinal, foi um ataque lançado sobre uma vulnerabilidade conhecida… mas e se fosse um ataque que explorava uma vulnerabilidade desconhecida?», acrescenta Paulo Rosado, descrevendo esta falha de segurança que afeta a maioria dos sistemas operativos da Microsoft anteriores ao Windows 10 e que foi usada pela NSA para espiar meio mundo.
Depois de uma fase de crescendo na passada sexta-feira, a disseminação do WannaCry acabou por ser travada no fim de semana, muito por força das folgas inerentes a esses dias. Nestes três dias, a Dognaedis contabilizou mais de 100 Indicators of Compromise (IoC), que podem ser comparados a vestígios que os códigos maliciosos deixam na Internet. Francisco Rente admite que a ameaça não fique por aqui: «Garantidamente haverá novas estirpes deste malware nos próximos tempos. Basta que alguém tenha percebido que houve alguém que conseguiu ganhar dinheiro com o WannaCry».
João Gouveia admite que já há quem esteja a aproveitar-se da WannaCry: «desde 11 de maio que temos visto a decorrer uma outra campanha de ransomware que dá pelo nome de JAFF. Ninguém tem falado nesta campanha, mas a verdade é que tem estado em força desde sexta-feira. Posso estar a especular, mas será que o WannaCry serviu apenas para desviar as atenções?».
Pedro Veiga relativiza o impacto do WannaCry em Portugal, mas diz que ainda é cedo para interromper as melhores práticas. No CNCS, o estado de prevenção prolonga-se para os próximos dias: «A ameaça está a ser contida, mas temos de ver se não é a primeira onda de algo maior».
Categorias
Entidades
Sexta-feira, 12 de maio, de manhã. Francisco, Papa de Roma e líder católico, tem chegada agendada para esse dia na Base Aérea de Monte Real. Todo o país está de prevenção. Multiplicam-se as fiscalizações nas fronteiras e a GNR faz vistorias aleatórias entre quem espera pelas primeiras palavras do Papa no santuário de Fátima. O Centro Nacional de Cibersegurança (CNCS) também destacou mais operacionais, para fazer frente a alguma eventualidade. «É uma coisa normal em determinados eventos e datas, como eleições», explica Pedro Veiga, coordenador do CNCS.
Ainda antes de Francisco aterrar em Portugal, surgem os primeiros avisos do estrangeiro sobre uma campanha de ransomware de grandes proporções. Além do estado de alerta do CNCS, há outro fator capaz de mitigar os efeitos do WannaCry em Portugal: o Governo deu tolerância de ponto à Administração Pública e muitos dos computadores estatais não chegaram a ser ligados nesse dia. O que não livrou todas as máquinas de um mal pior: mais 12 mil computadores terão sido sequestrados pelo ransomware WannaCry em Portugal, informa a Anubisnetworks, com base na informação fornecida pelo coletivo de peritos que travou a disseminação do WannaCry.
A Anubisnetworks estima que mais de 10 mil máquinas infetadas estejam ligadas às telecomunicações (provavelmente clientes dos operadores de telecomunicações); 1.226 associadas à área da Internet; 28 ligadas aos setor automóvel; 16 às seguradoras; oito às redes de computadores; seis na área das tecnologias; e três na área do Governo (o Ministério da Justiça e a Serviço Partilhados do Ministério da Saúde tomaram medidas preventivas). A Anubis estima ainda que 13 empresas de renome terão sido infetadas pelo WannaCry.
A Anubisnetworks é uma empresa de segurança eletrónica portuguesa que se especializou em ferramentas de proteção do correio eletrónico e que começou a ganhar clientes com uma rede de sensores dispersos pela Internet que permite conhecer, em tempo real, as diferentes tendências de contágio na Internet. Com o WannaCry, a startup portuguesa que foi adquirida pela inglesa BitSight, recorreu a uma fonte de informação diferente: «solicitámos informação junto do coletivo de especialistas que conseguiu travar o WannaCry», explica João Gouveia, diretor tecnológico da Anubisnetworks.
O MalwareTech, o coletivo de especialistas que conseguiu travar o contágio do WannaCry, pode ter ficado com parte dos louros de ajudar a salvar o mundo de males maiores, mas é a Marcus Hutchins – e também a uma certa ponta de sorte – que esse feito terá ser creditado.
Num golpe elucidativo de alguma aselhice de quem lançou a campanha de ransomware, Hutchins, 22 anos de idade, logrou descobrir um interruptor virtual que, literalmente, trava o WannaCry. Para isso, bastou-lhe registar um endereço com vários carateres aparentemente aleatórios que poderia ser usado para conter este código malicioso. Por que é que há um grupo de hackers que indica, dentro do próprio código do vírus, um endereço que pode funcionar como killswitch (o tal interruptor que trava o código malicioso)? Só mesmo os misteriosos criadores do WannaCry poderão explicar.
A estranha existência de um killswitch haveria de revelar-se decisiva. Foi com base neste interruptor que se tornou possível impedir uma máquina infetada de procurar outras máquinas com o mesmo tipo de vulnerabilidade dentro de um grupo de utilizadores de uma empresa para disseminar o código malicioso. E por isso o MalwareTech e Marcus Hutchins não tardaram a divulgar essa informação para que os gestores de redes informáticas dos vários pontos do mundo fossem recorrendo ao tal killswitch, que mais não era que um endereço de Internet que Hutchins passou a gerir apenas e só porque os cibercriminosos nunca o registaram (e ainda por cima revelaram-no).
«O principal vetor de contágio era o e-mail, mas sabia-se que bastava uma máquina infetada para disseminar o código malicioso por máquinas com a mesma vulnerabilidade que operem na mesma rede de uma empresa. Agora imaginemos que uma máquina infetada está ligada a duas redes… podemos concluir o que acontece a seguir», explica Paulo Rosado, consultor da DXC Technology (a nova denominação da HP Entreprise).
Mesmo com este volte-face de última hora, o coletivo MalwareTech não conseguiu evitar que mais de 200 mil máquinas fossem infetadas. E também não conseguiu evitar que os cibercriminosos juntassem um pecúlio correspondente a quase 40 mil euros em bitcoins (uma moeda virtual cujo criador é desconhecido e que costuma ser usada como alternativa às moedas tradicionais em vários setores – entre eles o cibercrime).
O ransomware opera na mesma lógica de um sequestro. Um computador é infetado – e o cibercriminoso assume o controlo remotamente, mas em vez de apagar os dados, ou propagar uma mensagem de índole política, limita-se a aplicar uma tecnologia de encriptação, que impede o legítimo utilizador de continuar a usar o computador – a menos que pague um resgate.
No caso do WannaCry o resgate solicitado variava entre 275 e 550 euros. Tudo leva a crer que os autores desta campanha apostaram quase tudo na quantidade – e não em alvos precisos que estariam dispostos a pagar resgates chorudos. O que poderá ter exponenciado o número de infeções. Com uma agravante: o WannaCry pode ter sido mal implementado, mas recorre a uma criptografia que torna virtualmente impossível o acesso aos dados depois do ataque.
«Há técnicas de análise forense que permitem recuperar os dados de um computador que tenha sido alvo de ransomware, mas não produzem resultados garantidos. É possível que muita gente acabe por perder dos dados», explica Francisco Rente, líder da empresa de segurança Dognaedis
Como é que os especialistas em segurança eletrónica conseguiram chegar à estimativa de quantas pessoas pagaram o resgate? Há mais uma aselhice dos hackers que ajuda a explicar este número: os cibercriminosos usaram apenas três wallets de bitcoins para receber os resgates… o que permitiu descobrir facilmente os valores coletados.
Mas houve muitos mais aselhas nesta campanha viral: «O WannaCry tirou partido de uma vulnerabilidade que já é há muito conhecida e para a qual a Microsoft lançou um patch em março. Como é que há empresas que não instalaram o patch? Por sinal, foi um ataque lançado sobre uma vulnerabilidade conhecida… mas e se fosse um ataque que explorava uma vulnerabilidade desconhecida?», acrescenta Paulo Rosado, descrevendo esta falha de segurança que afeta a maioria dos sistemas operativos da Microsoft anteriores ao Windows 10 e que foi usada pela NSA para espiar meio mundo.
Depois de uma fase de crescendo na passada sexta-feira, a disseminação do WannaCry acabou por ser travada no fim de semana, muito por força das folgas inerentes a esses dias. Nestes três dias, a Dognaedis contabilizou mais de 100 Indicators of Compromise (IoC), que podem ser comparados a vestígios que os códigos maliciosos deixam na Internet. Francisco Rente admite que a ameaça não fique por aqui: «Garantidamente haverá novas estirpes deste malware nos próximos tempos. Basta que alguém tenha percebido que houve alguém que conseguiu ganhar dinheiro com o WannaCry».
João Gouveia admite que já há quem esteja a aproveitar-se da WannaCry: «desde 11 de maio que temos visto a decorrer uma outra campanha de ransomware que dá pelo nome de JAFF. Ninguém tem falado nesta campanha, mas a verdade é que tem estado em força desde sexta-feira. Posso estar a especular, mas será que o WannaCry serviu apenas para desviar as atenções?».
Pedro Veiga relativiza o impacto do WannaCry em Portugal, mas diz que ainda é cedo para interromper as melhores práticas. No CNCS, o estado de prevenção prolonga-se para os próximos dias: «A ameaça está a ser contida, mas temos de ver se não é a primeira onda de algo maior».