Crime Informático

Ataque informático. O que foi, como se espalhou, quem o travou

2.331

Um poderoso vírus entrou por uma falha do Windows e alastrou na rede. Criou o caos em hospitais e empresas de todo o mundo. Um herói acidental travou a epidemia com 10 euros. Mas já acabou?

AFP/Getty Images

Foi um ataque informático de larga escala que se aproveitou de uma falha do sistema operativo Windows para entrar nos computadores de uma centena de empresas em todo o mundo. O palavrão a reter aqui é ransomware, um tipo de software malicioso que encripta os ficheiros dos computadores e pede um resgate financeiro em bitcoins — outro palavrão para descrever as moedas virtuais que não são mais do que algoritmos digitais na web, não controlados por nenhum Estado ou Governo central, mas que valem…dinheiro.

Foi um vírus assim que esta sexta-feira deu origem a cerca de 100 mil ataques em 99 países e que Europol já classificou como sendo um ataque informático sem precedentes. Mas o que se passou ao certo? O ataque ficou resolvido?

Que vírus é este?

Chama-se WannaCry (queres chorar, em português). Ou melhor, Ransom:Win32.WannaCrypt, e trata-se de um novo software malicioso do tipo ransomware, que se distingue por se apropriar do computador e exigir um resgate ao proprietário. Enquanto o resgate, que rondava os 600 dólares, não for pago os dados dos computadores permanecem bloqueados e os ficheiros encriptados.

A diferença deste ransomware para outros softwares maliciosos é que o WannaCry tem a capacidade de se mover dentro de uma rede por si mesmo, sem ser preciso nenhuma instrução específica para se expandir. Basta abrir um email ou anexo e o vírus deteta automaticamente as máquinas vulneráveis e infeta todas as que estivessem na rede. Daí que as grandes empresas, e não os clientes individuais, tenham sido os alvos. A resposta passou por desligar a rede.

O ataque só afetou utilizadores do Windows, que pertence à Microsoft, que não tivessem a versão mais atualizada daquele sistema operativo. O que aconteceu foi que os hackers por detrás do ataque se aproveitaram de uma vulnerabilidade do Windows para entrar nos computadores. A Microsoft, contudo, já esclareceu que foi adicionada proteção complementar contra o novo software malicioso.

O que aconteceu ao certo?

Os utilizadores de vários sistemas operativos Windows que estavam a trabalhar na rede interna das empresas afetadas começaram a receber alertas para um software malicioso que começou a encriptar os ficheiros que tinham nos computadores. Para poderem recuperá-los, tinham de pagar em bitcoins (moedas virtuais que permitem efetuar transações anónimas na internet). A mensagem que aparecia nos computadores era esta:

Por prevenção, muitas das grandes empresas de telecomunicações, energia e banca, sobretudo, deram ordens aos seus trabalhadores para desligarem os computadores e desligarem-se da rede. “Foi detetado um ataque informático a nível internacional, com impacto em vários países, nomeadamente Portugal, afetando diferentes empresas. Por questões de segurança faça power-off ao seu PC Windows e desligue-o da rede. Aguarde novas orientações”. Foi esta a mensagem interna que foi enviada aos colaboradores da PT, que durante toda a tarde de sexta-feira (desde cerca das 12h) ficaram impedidos de trabalhar.

Como é que se espalhou? E quem foram os responsáveis?

A porta de entrada foi uma falha no sistema operativo Windows. Em março, a Microsoft – que detém o Windows –, atualizou a falha que permitia esta vulnerabilidade, mas os utilizadores (sobretudo em empresas) que não tinham atualizado a versão do sistema ficaram vulneráveis ao hacking.

O grupo de hackers que esteve por detrás do ataque intitula-se “Shadow Brokers” (Corretores Sombra) e tem andado a roubar ferramentas à agência de segurança nacional dos EUA (a NSA) no último ano. Foi uma dessas ferramentas que foi utilizada neste ataque. Segundo conta a BBC, chama-se EternalBlue e serve precisamente para explorar uma determinada falha ou vulnerabilidade no Windows, atingindo em cheio com um ransomware que, depois, faz o resto sozinho.

Mas a origem do ataque não vinha do Brasil?

Na sexta-feira, no rescaldo do ataque informático, vários foram os especialistas que avançaram que o ponto de origem estava no Brasil. Mas pode não ser bem assim. Segundo explicou ao Observador o coordenador do Centro Nacional de Cibersegurança, Pedro Veiga, é difícil apurar com certezas de onde veio o ataque porque muitas empresas funcionam através de uma VPN (virtual private network) — uma rede interna segura usada pelos trabalhadores.

Ou seja, “o que eles [hackers] podem fazer é furar uma rede VPN no Brasil, estando localizados nos Estados Unidos ou na Rússia, mas o endereço que se recebe parece ser do Brasil. É uma maneira de ocultar a origem do ataque”, exemplificou o especialista para explicar a dificuldade de perceber qual a origem exata da ofensiva e se há mais do que uma. Alguns órgãos de comunicação internacionais referem una origem chinesa. E fala-se também da Rússia.

Então o que teve a NSA a ver com isto?

Há cerca de um mês, os Shadow Brokers divulgaram publicamente a informação de que tinham acedido a uma série de ferramentas da agência norte-americana de segurança nacional (a NSA). Os EUA não confirmaram oficialmente se a arma virtual usada por este grupo para levar a cabo o ataque desta sexta-feira pertencia mesmo à NSA ou a outras agências de inteligência norte-americanas.

Várias fontes, incluindo antigos funcionários, avançaram que a ferramenta pertencia à unidade de Operações de Acesso Personalizado da NSA, que alegadamente se dedica às redes de computadores estrangeiras. Os especialistas dizem ter motivos para acreditar que este pode ter sido o primeiro ataque massivo arquitetado pela NSA, financiado, por isso, pelos contribuintes norte-americanos e roubado por hackers adversários. O objetivo? Ganhar dinheiro ou fazer uma demonstração de força, ao atingir empresas, hospitais e bancos.

Edward Snowden, que esteve por detrás de uma das maiores fugas de ficheiros da NSA, em 2013, não deixou passar a oportunidade para questionar a atuação da agência de segurança nacional norte-americana neste processo. “À luz do ataque de hoje, o Congresso tem de perguntar à NSA se sabia de qualquer vulnerabilidade no software usado nos nossos hospitais”, começou por escrever. E continuou: “Se a NSA tivesse divulgado a falha usada para atacar hospitais quando a descobriam, e não apenas quando a perderam, isto podia não ter acontecido”.

A Microsoft teve culpa?

Foi uma falha da Microsoft que permitiu a invasão do vírus, mas quem tivesse a versão atualizada do sistema operativo não era permeável. Para minimizar os estragos, já há novas atualizações para todas as versões do Windows.

“Durante o dia de hoje a equipa de engenharia da Microsoft adicionou deteção e proteção complementar contra o novo software malicioso conhecido como Ransom:Win32.WannaCrypt. Já em março, a Microsoft disponibilizou uma atualização de segurança que oferece proteções adicionais contra este potencial ataque. Os utilizadores que possuem o nosso software de antivírus gratuito e têm as atualizações do Microsoft Windows ativadas estão protegidos. Continuamos a trabalhar com os nossos clientes para prestar o suporte necessário”, começou por dizer a empresa, acrescentando já este sábado que “dado o potencial impacto para os clientes e para os seus negócios, também lançámos atualizações para o Windows XP, Windows 8 e Windows Server 2003.”

Que empresas foram atingidas em Portugal e no estrangeiro?

Em Portugal as sirenes soaram na Portugal Telecom. Em Espanha com a Telefónica. Mas depressa o alerta chegou a outras gigantes de telecomunicações, de energia, da banca, sistemas de saúde de hospitais, etc. Segundo o gabinete europeu da Europol o ataque atingiu “níveis sem precedentes” e vai exigir uma “investigação internacional complexa para identificar os culpados”.

O ataque afetou sobretudo a Rússia, Ucrânia e Taiwan, mas também há registo de milhares de infeções em Espanha, Portugal, EUA, Reino Unido, China, Itália, França e Vietname, entre outros. Ao todo, segundo a empresa checa de antivírus Avast, o vírus chegou a 99 países numa rápida escalada dos ataques que “passaram a 100 mil em menos de 24 horas”. 57% ocorreram na Rússia.

Além dos trabalhadores da PT, que detetaram o ataque perto do meio-dia de sexta-feira e ficaram sem conseguir aceder aos computadores desde então, fonte da EDP explicou ao Observador que optou por desligar a rede portuguesa por iniciativa própria, quando a equipa se apercebeu do ataque. Várias foram aliás as grandes empresas que travaram o acesso dos seus funcionários à internet e aos mails, por precaução. A PT, que opera com a marca Meo, assegurou no entanto que os serviços prestados aos clientes, nas suas casas, não foram afetados.

Ao nível da banca, o BCP registou algumas perturbações e também a Caixa Geral de Depósitos disse que estava a monitorizar a situação com atenção e foram tomadas medidas preventivas de segurança informática, entre os quais desligar as contas de mail. O mesmo foi feito na Galp e na SIBS, a empresa que gere a rede de multibanco. Todas as empresas asseguram que os seus clientes não foram afetados.

A marca francesa automóvel Renault admitiu este sábado que também tinha sido afetada, acrescentando que a marca ainda está a analisar a situação. Se em Espanha, a maior empresa afetada foi a Telefonica, no Reino Unido o maior destaque vai para os hospitais, cujos sistemas foram abaixo por causa do ciberataque. Nos EUA, o gigante de correios Fedex admitiu ter sofrido “interferências” em alguns dos seus computadores. Foi, no entanto, na Rússia que se verificaram ataques em maior escala, com o Ministério do Interior russo a reconhecer que o vírus se tinha instalado em cerca de mil computadores do ministério, o Banco Central da Rússia, e o banco Sberbank, também registou perturbações, assim como a maior empresa de comboios.

Em Espanha, vários trabalhadores de empresas como a KPMG, o BBVA, Santander, Iberdrola e Vodafone também chegaram a avançar que tinham sido hackeados, mas não houve confirmações oficiais das empresas.

Eis um mapa da rápida expansão do ransomware em todo o mundo:

Como foi travado o ataque?

Por acidente, por um jovem de 22 anos e pela módica quantia de dez euros.

A imprensa internacional está a apelidá-los de “heróis acidentais“. O herói tem apenas 22 anos, é um investigador britânico especialista em cibersegurança, mas a única coisa que se conhece da sua identidade é que é o autor da conta de Twitter @malwaretechblog e do blog com o mesmo nome. Foi ele que encontrou e ativou, ainda que acidentalmente, uma espécie de interruptor (“kill switch”) que acabaria por desativar o software malicioso. Para isso era apenas preciso um registo de um domínio web, que custava nada mais do que 10,69 dólares.

Segundo o Guardian, o feito foi protagonizado pelo Malware Tech, com a ajuda de Darien Huss, da empresa de segurança Proofpoint. Foram eles que detetaram que o ransomware estava ligado a um endereço web com um nome demasiado longo e “non-sense” que não estava registado. O que aquele jovem fez foi apenas registar esse domínio, o que lhe custou pouco mais de 10 euros. “Registei-o mas não sabia o que ia acontecer, a intenção era só monitorizar a expansão do vírus que estava a acontecer em todo o mundo para mais tarde podermos analisar aquilo”, explica ao The Guardian.

O que não sabia era que bastava que o software malicioso obtivesse resposta desse domínio para que a expansão travasse. “Na verdade acabamos por travar a expansão do vírus apenas por registarmos o domínio”, diz. As horas seguintes foram uma “montanha-russa de emoções”.

E agora? Já está resolvido?

O vírus que afetou milhares e milhares de computadores esta sexta-feira foi travado, para já. Mas todos os especialistas alertam para o facto de a “epidemia” estar longe de ficar resolvida. É preciso atitudes preventivas, dizem.

Que atitudes preventivas podem ser tomadas?

Os conselhos dos especialistas são simples: fazer cópias de segurança regulares, atualizar os programas e os sistemas operativos, usar antivírus e sobretudo não abrir e-mails de origem desconhecida. Para evitar o ataque, basta “não abrir os e-mails afetados”. Como? “Quando recebemos um e-mail, olhamos para a origem e, se não confiamos, nem devemos abrir. Devemos apagar logo”, disse Pedro Veiga, coordenador do Centro Nacional de Cibersegurança, ao Observador.

De acordo com a Computer Security Incident Response Team (CSIRT eSIS), entre as medidas preventivas para proteger as redes de computadores do ransomware, encontram-se também a utilização da aplicação whitelisting para que apenas os programas especificados sejam executados, bloqueando todos os outros, incluindo softwares maliciosos.

Manter o seu sistema operacional e os softwares atualizados com os patches mais recentes, manter o software de antivírus atualizado e fazer um scan de todo o software transferido da Internet antes da sua execução, assim como restringir a capacidade dos utilizadores para instalar e executar aplicações de software indesejadas e aplicar o princípio de “privilégio mínimo” a todos os sistemas e serviços, são outras das medidas aconselhadas.

Todos queremos saber mais. E escolher bem.

A vida é feita de escolhas. E as escolhas devem ser informadas.

Há uns meses o Observador fez uma escolha: uma parte dos artigos que publicamos deixariam de ser de acesso totalmente livre. Esses artigos Premium, por regra aqueles onde fazemos um maior investimento editorial e que mais diferenciam o nosso projecto, constituem a base do nosso programa de assinaturas.

Este programa Premium não tolheu o nosso crescimento – arrancámos mesmo 2019 com os melhores resultados de sempre.

Este programa tornou-nos mesmo mais exigentes com o jornalismo que fazemos – um jornalismo que informa e explica, um jornalismo que investiga e incomoda, um jornalismo independente e sem medo. E diferente.

Este programa está a permitir que tenhamos uma nova fonte de receitas e não dependamos apenas da publicidade – porque não há futuro para a imprensa livre se isso não acontecer.

O Observador existe para servir os seus leitores e permitir que mais ar fresco circule no espaço público da nossa democracia. Por isso o Observador também é dos seus leitores e necessita deles, tem de contar com eles. Como subscritores do programa de assinaturas Observador Premium.

Se gosta do Observador, esteja com o Observador. É só escolher a modalidade de assinaturas Premium que mais lhe convier.

Partilhe
Comente
Sugira
Proponha uma correção, sugira uma pista: rdinis@observador.pt
Crime Informático

Quem tem medo de Rui Pinto? /premium

Filomena Martins
1.054

Desconfio que além do futebol, haja muitos poderosos que temam as revelações em seu poder. Fico mais descansada por saber que o seu acervo foi gravado por outros países e não pode ser destruído.

Só mais um passo

1
Registo
2
Pagamento
Sucesso

Detalhes da assinatura

Esta assinatura permite o acesso ilimitado a todos os artigos do Observador na Web e nas Apps. Os assinantes podem aceder aos artigos Premium utilizando até 3 dispositivos por utilizador.

Só mais um passo

1
Registo
2
Pagamento
Sucesso

Detalhes da assinatura

Esta assinatura permite o acesso ilimitado a todos os artigos do Observador na Web e nas Apps. Os assinantes podem aceder aos artigos Premium utilizando até 3 dispositivos por utilizador.

Só mais um passo

Confirme a sua conta

Para completar o seu registo, confirme a sua conta clicando no link do email que acabámos de lhe enviar. (Pode fechar esta janela.)