Foi um ataque informático de larga escala que se aproveitou de uma falha do sistema operativo Windows para entrar nos computadores de uma centena de empresas em todo o mundo. O palavrão a reter aqui é ransomware, um tipo de software malicioso que encripta os ficheiros dos computadores e pede um resgate financeiro em bitcoins — outro palavrão para descrever as moedas virtuais que não são mais do que algoritmos digitais na web, não controlados por nenhum Estado ou Governo central, mas que valem…dinheiro.

Foi um vírus assim que esta sexta-feira deu origem a cerca de 100 mil ataques em 99 países e que Europol já classificou como sendo um ataque informático sem precedentes. Mas o que se passou ao certo? O ataque ficou resolvido?

Que vírus é este?

Chama-se WannaCry (queres chorar, em português). Ou melhor, Ransom:Win32.WannaCrypt, e trata-se de um novo software malicioso do tipo ransomware, que se distingue por se apropriar do computador e exigir um resgate ao proprietário. Enquanto o resgate, que rondava os 600 dólares, não for pago os dados dos computadores permanecem bloqueados e os ficheiros encriptados.

PUB • CONTINUE A LER A SEGUIR

A diferença deste ransomware para outros softwares maliciosos é que o WannaCry tem a capacidade de se mover dentro de uma rede por si mesmo, sem ser preciso nenhuma instrução específica para se expandir. Basta abrir um email ou anexo e o vírus deteta automaticamente as máquinas vulneráveis e infeta todas as que estivessem na rede. Daí que as grandes empresas, e não os clientes individuais, tenham sido os alvos. A resposta passou por desligar a rede.

O ataque só afetou utilizadores do Windows, que pertence à Microsoft, que não tivessem a versão mais atualizada daquele sistema operativo. O que aconteceu foi que os hackers por detrás do ataque se aproveitaram de uma vulnerabilidade do Windows para entrar nos computadores. A Microsoft, contudo, já esclareceu que foi adicionada proteção complementar contra o novo software malicioso.

O que aconteceu ao certo?

Os utilizadores de vários sistemas operativos Windows que estavam a trabalhar na rede interna das empresas afetadas começaram a receber alertas para um software malicioso que começou a encriptar os ficheiros que tinham nos computadores. Para poderem recuperá-los, tinham de pagar em bitcoins (moedas virtuais que permitem efetuar transações anónimas na internet). A mensagem que aparecia nos computadores era esta:

Por prevenção, muitas das grandes empresas de telecomunicações, energia e banca, sobretudo, deram ordens aos seus trabalhadores para desligarem os computadores e desligarem-se da rede. “Foi detetado um ataque informático a nível internacional, com impacto em vários países, nomeadamente Portugal, afetando diferentes empresas. Por questões de segurança faça power-off ao seu PC Windows e desligue-o da rede. Aguarde novas orientações”. Foi esta a mensagem interna que foi enviada aos colaboradores da PT, que durante toda a tarde de sexta-feira (desde cerca das 12h) ficaram impedidos de trabalhar.

Como é que se espalhou? E quem foram os responsáveis?

A porta de entrada foi uma falha no sistema operativo Windows. Em março, a Microsoft – que detém o Windows –, atualizou a falha que permitia esta vulnerabilidade, mas os utilizadores (sobretudo em empresas) que não tinham atualizado a versão do sistema ficaram vulneráveis ao hacking.

O grupo de hackers que esteve por detrás do ataque intitula-se “Shadow Brokers” (Corretores Sombra) e tem andado a roubar ferramentas à agência de segurança nacional dos EUA (a NSA) no último ano. Foi uma dessas ferramentas que foi utilizada neste ataque. Segundo conta a BBC, chama-se EternalBlue e serve precisamente para explorar uma determinada falha ou vulnerabilidade no Windows, atingindo em cheio com um ransomware que, depois, faz o resto sozinho.

Mas a origem do ataque não vinha do Brasil?

Na sexta-feira, no rescaldo do ataque informático, vários foram os especialistas que avançaram que o ponto de origem estava no Brasil. Mas pode não ser bem assim. Segundo explicou ao Observador o coordenador do Centro Nacional de Cibersegurança, Pedro Veiga, é difícil apurar com certezas de onde veio o ataque porque muitas empresas funcionam através de uma VPN (virtual private network) — uma rede interna segura usada pelos trabalhadores.

Ou seja, “o que eles [hackers] podem fazer é furar uma rede VPN no Brasil, estando localizados nos Estados Unidos ou na Rússia, mas o endereço que se recebe parece ser do Brasil. É uma maneira de ocultar a origem do ataque”, exemplificou o especialista para explicar a dificuldade de perceber qual a origem exata da ofensiva e se há mais do que uma. Alguns órgãos de comunicação internacionais referem una origem chinesa. E fala-se também da Rússia.

Então o que teve a NSA a ver com isto?

Há cerca de um mês, os Shadow Brokers divulgaram publicamente a informação de que tinham acedido a uma série de ferramentas da agência norte-americana de segurança nacional (a NSA). Os EUA não confirmaram oficialmente se a arma virtual usada por este grupo para levar a cabo o ataque desta sexta-feira pertencia mesmo à NSA ou a outras agências de inteligência norte-americanas.

Várias fontes, incluindo antigos funcionários, avançaram que a ferramenta pertencia à unidade de Operações de Acesso Personalizado da NSA, que alegadamente se dedica às redes de computadores estrangeiras. Os especialistas dizem ter motivos para acreditar que este pode ter sido o primeiro ataque massivo arquitetado pela NSA, financiado, por isso, pelos contribuintes norte-americanos e roubado por hackers adversários. O objetivo? Ganhar dinheiro ou fazer uma demonstração de força, ao atingir empresas, hospitais e bancos.

Edward Snowden, que esteve por detrás de uma das maiores fugas de ficheiros da NSA, em 2013, não deixou passar a oportunidade para questionar a atuação da agência de segurança nacional norte-americana neste processo. “À luz do ataque de hoje, o Congresso tem de perguntar à NSA se sabia de qualquer vulnerabilidade no software usado nos nossos hospitais”, começou por escrever. E continuou: “Se a NSA tivesse divulgado a falha usada para atacar hospitais quando a descobriam, e não apenas quando a perderam, isto podia não ter acontecido”.

A Microsoft teve culpa?

Foi uma falha da Microsoft que permitiu a invasão do vírus, mas quem tivesse a versão atualizada do sistema operativo não era permeável. Para minimizar os estragos, já há novas atualizações para todas as versões do Windows.

“Durante o dia de hoje a equipa de engenharia da Microsoft adicionou deteção e proteção complementar contra o novo software malicioso conhecido como Ransom:Win32.WannaCrypt. Já em março, a Microsoft disponibilizou uma atualização de segurança que oferece proteções adicionais contra este potencial ataque. Os utilizadores que possuem o nosso software de antivírus gratuito e têm as atualizações do Microsoft Windows ativadas estão protegidos. Continuamos a trabalhar com os nossos clientes para prestar o suporte necessário”, começou por dizer a empresa, acrescentando já este sábado que “dado o potencial impacto para os clientes e para os seus negócios, também lançámos atualizações para o Windows XP, Windows 8 e Windows Server 2003.”

Que empresas foram atingidas em Portugal e no estrangeiro?

Em Portugal as sirenes soaram na Portugal Telecom. Em Espanha com a Telefónica. Mas depressa o alerta chegou a outras gigantes de telecomunicações, de energia, da banca, sistemas de saúde de hospitais, etc. Segundo o gabinete europeu da Europol o ataque atingiu “níveis sem precedentes” e vai exigir uma “investigação internacional complexa para identificar os culpados”.

O ataque afetou sobretudo a Rússia, Ucrânia e Taiwan, mas também há registo de milhares de infeções em Espanha, Portugal, EUA, Reino Unido, China, Itália, França e Vietname, entre outros. Ao todo, segundo a empresa checa de antivírus Avast, o vírus chegou a 99 países numa rápida escalada dos ataques que “passaram a 100 mil em menos de 24 horas”. 57% ocorreram na Rússia.

Além dos trabalhadores da PT, que detetaram o ataque perto do meio-dia de sexta-feira e ficaram sem conseguir aceder aos computadores desde então, fonte da EDP explicou ao Observador que optou por desligar a rede portuguesa por iniciativa própria, quando a equipa se apercebeu do ataque. Várias foram aliás as grandes empresas que travaram o acesso dos seus funcionários à internet e aos mails, por precaução. A PT, que opera com a marca Meo, assegurou no entanto que os serviços prestados aos clientes, nas suas casas, não foram afetados.

Ao nível da banca, o BCP registou algumas perturbações e também a Caixa Geral de Depósitos disse que estava a monitorizar a situação com atenção e foram tomadas medidas preventivas de segurança informática, entre os quais desligar as contas de mail. O mesmo foi feito na Galp e na SIBS, a empresa que gere a rede de multibanco. Todas as empresas asseguram que os seus clientes não foram afetados.

A marca francesa automóvel Renault admitiu este sábado que também tinha sido afetada, acrescentando que a marca ainda está a analisar a situação. Se em Espanha, a maior empresa afetada foi a Telefonica, no Reino Unido o maior destaque vai para os hospitais, cujos sistemas foram abaixo por causa do ciberataque. Nos EUA, o gigante de correios Fedex admitiu ter sofrido “interferências” em alguns dos seus computadores. Foi, no entanto, na Rússia que se verificaram ataques em maior escala, com o Ministério do Interior russo a reconhecer que o vírus se tinha instalado em cerca de mil computadores do ministério, o Banco Central da Rússia, e o banco Sberbank, também registou perturbações, assim como a maior empresa de comboios.

Em Espanha, vários trabalhadores de empresas como a KPMG, o BBVA, Santander, Iberdrola e Vodafone também chegaram a avançar que tinham sido hackeados, mas não houve confirmações oficiais das empresas.

Eis um mapa da rápida expansão do ransomware em todo o mundo:

Como foi travado o ataque?

Por acidente, por um jovem de 22 anos e pela módica quantia de dez euros.

A imprensa internacional está a apelidá-los de “heróis acidentais“. O herói tem apenas 22 anos, é um investigador britânico especialista em cibersegurança, mas a única coisa que se conhece da sua identidade é que é o autor da conta de Twitter @malwaretechblog e do blog com o mesmo nome. Foi ele que encontrou e ativou, ainda que acidentalmente, uma espécie de interruptor (“kill switch”) que acabaria por desativar o software malicioso. Para isso era apenas preciso um registo de um domínio web, que custava nada mais do que 10,69 dólares.

Segundo o Guardian, o feito foi protagonizado pelo Malware Tech, com a ajuda de Darien Huss, da empresa de segurança Proofpoint. Foram eles que detetaram que o ransomware estava ligado a um endereço web com um nome demasiado longo e “non-sense” que não estava registado. O que aquele jovem fez foi apenas registar esse domínio, o que lhe custou pouco mais de 10 euros. “Registei-o mas não sabia o que ia acontecer, a intenção era só monitorizar a expansão do vírus que estava a acontecer em todo o mundo para mais tarde podermos analisar aquilo”, explica ao The Guardian.

O que não sabia era que bastava que o software malicioso obtivesse resposta desse domínio para que a expansão travasse. “Na verdade acabamos por travar a expansão do vírus apenas por registarmos o domínio”, diz. As horas seguintes foram uma “montanha-russa de emoções”.

E agora? Já está resolvido?

O vírus que afetou milhares e milhares de computadores esta sexta-feira foi travado, para já. Mas todos os especialistas alertam para o facto de a “epidemia” estar longe de ficar resolvida. É preciso atitudes preventivas, dizem.

Que atitudes preventivas podem ser tomadas?

Os conselhos dos especialistas são simples: fazer cópias de segurança regulares, atualizar os programas e os sistemas operativos, usar antivírus e sobretudo não abrir e-mails de origem desconhecida. Para evitar o ataque, basta “não abrir os e-mails afetados”. Como? “Quando recebemos um e-mail, olhamos para a origem e, se não confiamos, nem devemos abrir. Devemos apagar logo”, disse Pedro Veiga, coordenador do Centro Nacional de Cibersegurança, ao Observador.

De acordo com a Computer Security Incident Response Team (CSIRT eSIS), entre as medidas preventivas para proteger as redes de computadores do ransomware, encontram-se também a utilização da aplicação whitelisting para que apenas os programas especificados sejam executados, bloqueando todos os outros, incluindo softwares maliciosos.

Manter o seu sistema operacional e os softwares atualizados com os patches mais recentes, manter o software de antivírus atualizado e fazer um scan de todo o software transferido da Internet antes da sua execução, assim como restringir a capacidade dos utilizadores para instalar e executar aplicações de software indesejadas e aplicar o princípio de “privilégio mínimo” a todos os sistemas e serviços, são outras das medidas aconselhadas.