Uma onda de ataques ransomware espalhou-se pelo mundo nesta sexta-feira, 12 de maio. Pela manhã, os ataques que travam sistemas e exigem resgate (ransom, em inglês) foram identificados em vários hospitais ingleses. Algumas horas depois, problemas foram reportados na empresa de telefonia espanhola Telefônica. Não demorou muito para que mais 11 países fossem atingidos. No meio da tarde, já se falava em 74 nações.
O chamado ransomware é um tipo de software malicioso que criptografa os documentos de uma vítima. Em geral, ele trava o HD com as pastas que contém documentos, imagens, música e outros arquivos. Para ser liberado, ele exige uma chave codificada de liberação, algo que a vítima tem de pagar. O valor varia e a moeda escolhida é quase sempre a virtual bitcoin, ou semelhante, e o depósito é feito em contas fora do sistema financeiro oficial.
Ainda não está claro o volume do ataque, tão pouco sua origem, ou se foi orquestrado. A forma rápida como ele se espalhou durante o dia deixou especialistas perplexos. As primeiras indicações apontam que o malware pode estar se espalhando para sistemas vulneráveis Windows, por meio de uma brecha de segurança, corrigida pela Microsoft em março, mas que não foi instalada pelas empresas afetadas.
Em várias companhias ao redor do mundo os empregados foram avisados para desligar todos os sistemas não essenciais com Windows. Na Inglaterra, o National Health Service (NHS), publicou um aviso emergencial sobre a situação. Vários hospitais tiveram de remover pacientes em estado crítico para outras instalações e cancelar atendimentos.
Suspeito
Especialistas em segurança, como o site Bleeping Computer, identificaram o ransomware como sendo uma variante do Wanna Decryptor (também chamado “WannaCry“ ou Wcry). Contudo, não houve pistas sobre como um tipo de malware considerado pouco ativo e localizado se espalhou de forma tão rápida e dando a impressão de ser orquestrada.
No início da tarde, o especialista em segurança digital francês conhecido pelo apelido de Kafeine, alertou que o ransomware estava usando os caminhos explorados pela NSA, agência americana de espionagem que é acusada de fazer uma vigilância fora de limites na internet e que teria pressionado empresas de tecnologia para manter brechas em diversos aparelhos para facilitar esse trabalho. O modo de operação é conhecido por ETERNALBLUE e foi desvendado por um grupo de hackers autodenominado The Shadow Brokers. Logo após, outros especialistas divulgaram que havia um segundo modo operacional de espionagem da NSA sendo usado, este conhecido como DOUBLEPULSAR.
O especialista da empresa de antivírus Avast, Jakub Kroustek, detectou 57 mil infecções do Wcry no início da tarde. Outra vítimas incluem a Portugal Telecom (naquele país), universidades chinesas, empresas de gás e eletricidade e Ministério do Interior da Rússia.
Acesse os outros sites da VideoPress
Portal Vida Moderna – www.vidamoderna.com.br
Radar Nacional – www.radarnacional.com.br
–
