Tecnologia – O anti-virus acidental contra o ransomware

Como descoberta acidental interrompeu ‘sequestro’ de computadores em grandes empresas ao redor do mundo

WannaCry
Tela de computadores infectados pedia ‘resgate’ para reaver documentos – Direito de imagem WEBROOT

Um pesquisador na área de segurança da informação disse à BBC como ele acidentalmente interrompeu a contaminação de centenas de organizações no Reino Unido e ao redor do mundo na sexta-feira.[ad name=”Retangulo – Anuncios – Duplo”]

Foi uma aparente campanha de ransomware – em que computadores são infectados com um vírus que codifica e “sequestra” os arquivos. Os invasores, então, pedem um “resgate”: ameaçam destruir (ou tornar públicos) os arquivos caso não recebam dinheiro.

Conhecido pelo apelido com que opera online, MalwareTech, o pesquisador estava analisado o código que fazia funcionar o vírus responsável pelo ataque.

O pesquisador percebeu que o programa tentava contactar um endereço de internet incomum (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), que não estava registrado.

MalwareTech, então, gastou o equivalente a R$ 35 reais para “comprar” endereço. Com isso ele, conseguiria analisar o comportamente do vírus.

Porém, ele depois ele percebeu que a operação de registro interrompeu o processo do programa de se propagar.

“Foi algo acidental. Passei a noite inteira investigando”.

O que aconteceu?

Originalmente, especulou-se que quem está por trás do vírus teria incluído um “botão de autodestruição”. Mas Malware acredita que se tratava de um mecanismo para saber se o programa estava sendo monitorado por pesquisadores da área de segurança da informação no que se chama de “máquina virtual” – uma espécie de ambiente de quarentena para vírus.

Um computador real não poderia acessar iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, mas uma “máquina virtual” conseguiria.

“Isso fez com que o programa parasse para evitar análises externas”, disse MalwareTech.

“Quando registrei o site, isso fez com que todas as ‘infecções’ ao redor do mundo se desativassem por acreditar que estavam em uma máquina virtual. Sem querer, impedimos a proliferação do vírus”.

O vírus foi derrotado?

Isso não significa que a ameaça foi afastada: arquivos “danificados” pelo vírus ainda podem ser usados para chantagear seus donos.

E analistas de segurança alertam que novas variações do programa que ignorem o “botão” vão aparecer.

“Conseguimos parar uma versão, mas não seremos capazes de parar a próximas. Há muito dinheiro envolvido (no cybercrime) e não é preciso muito esforço para eles (os programadores) muderam o código e começarem tudo de novo”.

[ad name=”Retangulo – Anuncios – Esquerda”]O que se sabe

O ataque cibernético de grandes proporções atingiu diversas empresas e organizações em 99 países, afetando até o serviço de saúde do Reino Unido.

Há relatos de computadores infectados em EUA, China, Rússia, Espanha e Itália, o que leva especialistas em segurança a acreditar em ação coordenada.

Uma análise da empresa de antivírus Avast identificou um “enorme pico” de ransomwares pelo vírus WanaCrypt0r 2.0 (ou WCry).

“Foram mais de 57 mil infecções até agora”, disse a empresa em seu blog na tarde de sexta-feira.

No Reino Unido, houve significativo impacto sobre os arquivos digitais do NHS, equivalente ao SUS britânico. Dados de pacientes foram criptografados pelos invasores e se tornaram inacessíveis. Até ambulâncias e clínicas médicas foram afetadas.

Nos computadores invadidos, uma tela dizia “ops, seus arquivos foram codificados” e pedia pagamento de US$ 600 (cerca de R$ 1,9 mil) em bitcoins (moeda digital) para recuperá-los.

“Não é um ataque inédito, mas ele se aproveita de falhas no sistema operacional para executar um comando no computador (infectado)”, diz à BBC Brasil Fernando Amatte, especialista da CIPHER, empresa de cibersegurança.

“E ele se espalha sozinho: ao entrar em uma rede, (o malware) procura outras máquinas da mesma rede para infectá-las, sem a necessidade de interação dos usuários.”

mapa digital
Organizações por todo o mundo confirmaram ter sofrido impactos do ataque – Direito de imagem GETTY IMAGES

Outra grande empresa infectada foi a espanhola Telefônica, que disse em comunicado estar ciente de um “incidente de cibersegurança”. Segundo a empresa, clientes e serviços não foram afetados, apenas a rede interna.

Na Itália, um usuário compartilhou imagens de um laboratório de informática universitário aparentemente infectado pelo mesmo programa.

Nos EUA, a empresa de logística FedEx disse que, “assim como outras empresas, está vivenciando interferência com alguns de nossos sistemas baseados em Windows, por culpa de um malware (software malicioso). Faremos correções assim que possível”.

Ameaça crescente

Os ransomwares estão se tornando uma das mais importantes ameaças cibernéticas da atualidade.

“Esses ataques têm crescido justamente porque os criminosos veem nele uma possibilidade de ganho fácil, já que bitcoins são uma moeda não rastreável”, diz Fernando Amatte.

E o ataque desta sexta se destaca. “Foi muito grande, impactando organizações pela Europa em uma escala que nunca havia visto”, agrega à BBC Kevin Beaumont, também especialista em segurança cibernética.

Analistas apontam que o ataque explorou uma vulnerabilidade que havia sido divulgada por um grupo que se autointitula The Shadow Brokers. Esse grupo recentemente declarou ter roubado ferramentas digitais da NSA, a agência nacional de segurança dos EUA.

A empresa Microsoft havia conseguido criar proteções contra a invasão, mas os hackers parecem ter tirado proveito de redes de computadores que ainda não haviam atualizado seus sistemas.

Segundo especialistas, a proteção contra ransomwares passa por medidas básicas, como evitar clicar em links suspeitos e fazer cópia de arquivos importantes. Mas, em casos como o desta sexta, em que os usuários foram afetados sem nem mesmo clicar em links do tipo, Amatte diz que a precaução deve ser maior: manter os sistemas operacionais devidamente atualizados com os updates de segurança.

E adianta pagar o resgate? “Tenho clientes que foram bem-sucedidos em recuperar seus arquivos ao pagar o resgate e tenho clientes que não receberam os arquivos de volta. Por se tratar de criminosos, é difícil saber o que eles pensam. Existe a chance de não se conseguir recuperar.”

Tecnologia: App de pornografia fotografa usuários secretamente para chantagem

Uma empresa de segurança americana descobriu um aplicativo malicioso de pornografia que tira fotos secretamente e faz chantagem com os usuários.

APP,Pornografia,Internet,Blog do Mesquita 01

Aplicativo malicioso teria a capacidade de tirar fotos de vítimas secretamente

O app Adult Player funciona em sistemas Android e aparenta oferecer pornografia, segundo a empresa de segurança Zscaler.

Ele teria capacidade para tirar fotos frontais do usuário com a câmera do celular e bloquear o aparelho.

Para desbloquear o telefone, seus operadores pedem um “resgate” de US$ 500 (R$ 2.000).

Leia mais: Como se proteger da avalanche de vírus em celulares

Ransomware

Esse tipo de crime cibernético, conhecido como ransomware, está se tornado cada vez mais comum e lucrativo.[ad name=”Retangulo – Anuncios – Direita”]

Em sua maioria, é praticado com o uso de aplicativos que exigem dinheiro de vítimas ameaçando divulgar informações privadas ou apagar arquivos.

Em agosto, a empresa Intel Security afirmou que os casos de ransomwares aumentaram 127% desde 2014 – afetando principalmente laptops e desktops.

APP,Pornografia,Internet,Blog do Mesquita 02

Serviço ilegal de rackers pode ser terceirizado, segundo especialistas

“Uma das razões para o aumento é que eles são fáceis de fazer”, disse Raj Samani, chefe de tecnologia da Intel Security na Europa.

“Há pessoas que são pagas para fazer o trabalho, e isso é muito bem pago. Um grupo que rastreamos ganhou US$ 75 mil em dez semanas”.

“Aplicativos como este se baseiam no fator do constrangimento. Se você não paga, sua reputação pode ser afetada”.

O Adult Player foi o segundo app do gênero descoberto pela Zscaler.

Leia mais: 5 apps simples que ajudam a superar problemas cotidianos
Leia mais: O vírus mutante e quase perfeito desativado pelo FBI e pela UE

Ele não era disponibilizado em lojas virtuais conhecidas, como o Google Play, mas podia ser instalado diretamente de uma página da internet.

Segundo a Zscaler, o aplicativo mantém uma mensagem fixa na tela do aparelho atacado com o pedido de resgate. Ela continua lá mesmo se o telefone é desligado e religado.

Senso comum

“Os ransomwares são mais comuns em computadores do que telefones, mas esse pode ser o início de uma tendência”, disse Samani.

APP,Pornografia,Internet,Blog do Mesquita 03

Ransomwares são mais comuns em laptops e desktops; eles ameaçam apagar arquivos

“Você pode se proteger usando o senso comum básico. Alguns ransomwares ameaçam apagar suas fotos, vídeos e documentos. Por isso faça cópias de seus dados. Se você for atingido pode apagar todos os dados do sistema e reiniciá-lo”.

“Faça downloads apenas de lojas como a Google Play e, se receber um link para baixar aplicativos, não clique nele”.

A Zscaler afirmou que todos que baixaram o Adult Player devem reiniciar seus aparelhos em “modo de segurança (safe mode)”. O procedimento varia de acordo com cada fabricante.

Dessa forma o sistema operacional é operado sem que aplicativos sejam ligados – o que permite que softwares maliciosos sejam deletados.
BBC