Agência de segurança
da européia diz que será necessária investigação internacional complexa para
identificar culpados
Os
hackers, que não se apresentaram para reivindicar a responsabilidade ou de
outra forma foram identificados, aproveitaram um worm, ou
auto-propagação de malware, explorando um pedaço de NSA espião
código conhecido como "Eternal Blue", que foi lançado no mês passado
por um hackers grupo conhecido como Shadow Brokers, de acordo com
pesquisadores com várias empresas privadas de segurança cibernética.
Capitalizando
ferramentas de espionagem que se acredita terem sido desenvolvidas pela Agência
Nacional de Segurança (NSA) dos EUA, o ataque cibernético infectou dezenas de
milhares de computadores em quase cem países. O sistema de saúde do Reino Unido
sofreu as piores interrupções.
Cyber
extorsionistas enganaram as vítimas para abrir anexos maliciosos de malware a
e-mails de spam que pareciam conter faturas, ofertas de trabalho, avisos de
segurança e outros arquivos legítimos. Uma vez dentro da rede direcionada, o
chamado ransomware fez uso de ferramentas de espionagem
recentemente reveladas para infectar silenciosamente outras máquinas
desatualizadas sem qualquer intervenção humana. Isso, dizem especialistas de
segurança, marcou uma escalada sem precedentes no risco de novos ataques se
espalhando nos próximos dias e semanas.
O ransomware criptografou
dados nos computadores, exigindo pagamentos de US$ 300 a US$ 600 para restaurar
o acesso. Os pesquisadores observaram que algumas vítimas pagavam através do
bitcoin digital da moeda, embora ninguém saiba quanto pode ter sido transferido
aos extortionistas devido à natureza anonymous em grande parte de tais
transações.
A
Renault disse que suspendeu a produção de automóveis em vários locais,
incluindo Sandouville no noroeste da França e as unidades da Dacia, propriedade
da Renault, na Romênia, no sábado, para evitar a propagação de ransomware em
seus sistemas.
A
fábrica da Nissan em Sunderland, no nordeste da Inglaterra, também foi afetada
pelo ataque cibernético, embora "não tenha havido grande impacto em nossos
negócios", disse um porta-voz da montadora japonesa.
O
operador ferroviário alemão Deutsche Bahn disse que alguns sinais eletrônicos
em estações anunciando chegadas e partidas foram infectados, com os viajantes
postar fotos mostrando alguns com uma mensagem exigindo um pagamento em
dinheiro para restaurar o acesso.
Europol
diz que ataque é "sem precedentes"
O
Centro Europeu de Cibercriminalidade da Europol afirmou que está trabalhando em
estreita colaboração com investigadores nacionais e empresas privadas de
segurança para combater a ameaça e ajudar as vítimas.
"O
ataque recente está em um nível sem precedentes e exigirá uma investigação
internacional complexa para identificar os culpados", disse em um
comunicado.
Alguns
especialistas afirmaramque a ameaça recuou por agora, em parte porque um
pesquisador britânico, que se recusou a dar seu nome, registrou um domínio em
que percebeu que o malware estava tentando se conectar e
conseguiu limitar a propagação do vírus.
"Estamos
em um declive, as infecções são extremamente poucas, porque o malware não
é capaz de se conectar ao domínio registrado", disse Vikram Thakur, gerente
de pesquisa principal da Symantec, acrescentando que "os números são
extremamente baixos e estão caindo rapidamente."
Mas
os atacantes ainda podem ajustar o código e reiniciar o ciclo. O pesquisador
britânico amplamente apontado como o responsável por frustrar a proliferação ransomware disse
à Reuters que ele não tinha visto qualquer ajustes ainda, "mas eles vão
acontecer".
Pesquisadores
disseram que o worm implantado no último ataque, ou
ferramentas similares lançadas pela Shadow Brokers, provavelmente serão usados
para novos assaltos, não apenas com ransomware, mas outros malwares para
invadir empresas, conquistar controle de redes e roubar dados.
Os
chefes de finanças dos países ricos do G7 se comprometeram neste sábado a unir
forças para combater a crescente ameaça de ataques cibernéticos internacionais,
de acordo com um projeto de declaração conjunta que deve ser divulgada como um
dos frutos da reunião que está sendo realizada em Bari, na Itália.
"São
necessárias respostas políticas adequadas a toda a economia", afirma o
rascunh da declaração visto pela Reuters.
Hospitais
na linha de fogo
Na
Ásia, alguns hospitais, escolas, universidades e outras instituições foram
afetados, embora a extensão total do dano ainda não seja conhecida porque é o
fim de semana.
"Acredito
que muitas empresas ainda não perceberam", disse William Saito, um
conselheiro de segurança cibernética do governo do Japão, prevendo que a
extensão do dano só será conhecida na segunda-feira, quando as pessoas voltarem
ao trabalho.
O órgão de proteção da informação da China disse que "uma porção" de usuários de sistemas Windows no país estava infectada, de acordo com um comunicado publicado na página oficial Weibo da filial de Pequim do Departamento de Segurança Pública no sábado. Xinhua agência de notícias estatal disse que algumas escolas secundárias e universidades foram atingidas.
No
Vietnã, Vu Ngoc Filho, diretor do Bkav Anti Malware, disse que dezenas de casos
de infecção haviam sido denunciados, mas ele não quis identificar nenhuma das
vítimas.
A
agência de notícias Yonhap da Coréia do Sul informou que um hospital
universitário havia sido afetado. Um funcionário de comunicações na Indonésia
disse que dois hospitais haviam sido atingidos.
Os
ataques mais perturbadores foram relatados no Reino Unido, onde hospitais e
clínicas foram forçados a abandonar pacientes depois de perderem acesso a
computadores na sexta-feira.
O
exportador internacional FedEx Corp disse que alguns de seus computadores com
Windows também foram violados. "Estamos implementando medidas de
remediação o mais rápido possível", informou uma comunicado da FedEx.
A
empresa de telecomunicações Telefónica estava entre muitos alvos na Espanha. A
subsidiária empresa no Brasil também recomendou a seus funcionários que
desligassem seus computadores para que medidas de segurança fossem tomadas. A
Portugal Telecom e a Telefónica Argentina disseram que também foram alvo do
ataque dos hackers.
Apenas
um pequeno número de organizações sediadas nos Estados Unidos foram atingidas
porque os hackers parecem ter começado a campanha focando metas na Europa,
disse Thakur, da Symantec.
No
momento em que eles voltaram sua atenção para os Estados Unidos, os filtros de
spam identificaram a nova ameaça e sinalizaram os e-mails carregados de ransomware como
maliciosos, acrescentou.
Windows
reforçou defesas
Empresas
de segurança privada identificaram o ransomware como uma nova
variante do WannaCry (quero chorar em português) que tinha a
capacidade de se espalhar automaticamente em grandes redes explorando um bug
conhecido no sistema operacional Windows da Microsoft.
"Este
é um dos maiores ataques globais de ransomware que a comunidade cibernética já
viu", disse Rich Barger, diretor de pesquisa de ameaças com a Splunk, uma
das empresas que ligou WannaCry à NSA.
Os
Shadow Brokers lançaram Eternal Blue como parte de um tesouro de ferramentas de
hacking que, segundo eles, pertenciam à agência de espionagem dos EUA.
O
ataque foi dirigido a computadores Windows que não tinham instalado patches lançados
pela Microsoft em março, ou máquinas mais antigas que executam softwares que a
Microsoft não suporta e para os quais os patches não existiam,
incluindo o sistema Windows XP de 16 anos.
A
Microsoft afirmou que lançou atualizações automáticas do Windows para defender
os clientes do WannaCry. A empresa informa que publicou um patch, em
14 de março, para proteger os sistemas do Eternal Blue. No fim de sexta-feira,
a Microsoft também lançou patches para uma série de software
descontinuado há muito tempo, incluindo o Windows XP eo Windows Server 2003.
"Hoje,
nossos engenheiros adicionaram detecção e proteção contra novos softwares
maliciosos conhecidos como ransom: Win32.WannaCrypt", informou
a Microsoft em um comunicado na sexta-feira, acrescentando que estava
trabalhando com os clientes para fornecer assistência adicional.
Tema
politicamente sensível
A
propagação do ransomware foi ápice de uma semana de
turbulência cibernética na Europa, que começou quando os hackers tornaram
públicos um tesouro de documentos de campanha vinculados ao candidato francês
Emmanuel Macron, pouco antes do segundo turno da votação da eleição para a
presidência da França, para o qual foi eleito.
Na
quarta-feira, hackers interromperam os sites de várias empresas de mídia
francesa e da gigante aeroespacial britânica Airbus.
O
ataque ocorre quatro semanas antes das eleições gerais britânicas, nas quais a
segurança nacional e a gestão do Serviço Nacional de Saúde, administrado pelo
Estado, são questões importantes.
Autoridades
britânicas têm sido preparadas para ataques cibernéticos na véspera da eleição,
como aconteceu durante as eleições dos EUA no ano passado e na véspera da
segunda volta dos franceses em 7 de maio.
Mas
esses ataques - ao qual se tentou culpar a Rússia, que repetidamente negou -
seguiram um modus operandi diferente, começando por entrar em
contas de indivíduos e organizações políticas e, em seguida, liberar material
hackeado on-line.
Na
sexta-feira, os ministérios do Interior e Emergências da Rússia, bem como seu
maior banco, Sberbank, disseram ter sido alvo de ransomware. O
Ministério do Interior disse que cerca de mil computadores foram infectados,
mas que havia localizado o vírus.
Embora
os casos de extorsão cibernética venham aumentando há vários anos, eles têm até
hoje afetado organizações de pequeno a médio porte.
-
Ver uma grande empresa de telecomunicações como a Telefónica ser atingida vai
deixar todo mundo preocupado - disse Chris Wysopal, diretor de tecnologia da
Veracode, empresa de segurança cibernética.

Nenhum comentário:
Postar um comentário