Todo ataque tem uma história: entenda o contexto do WannaCry e porque ele é pop

A maioria das análises feitas sobre o episódio e o contexto do WannaCry até então fizeram uma leitura bem superficial, se limitando apenas aos números relacionados ao incidente e sua análise técnica.

É verdade que esses números assustam e o impacto do episódio ao redor do mundo impressionou, principalmente quando empresas imponentes como a espanhola Telefónica, que comanda a Vivo no Brasil, Fedex, entre outras gigantes, foram atingidas em grande escala.

Porém, é necessário entender em que contexto um dos maiores ataques de ransomware da história ocorreu para compreender seus desdobramentos e, quem sabe, conseguir imaginar o que pode acontecer daqui para frente.

A maioria dos especialistas em cibersegurança que circularam em programas de TV e nas grandes mídias explicaram muito eficientemente os aspectos técnicos do ataque, conseguindo minimizar a dimensão política do evento e o resumindo a uma história envolvendo “desenvolvedores de software incompetentes, hackers malignos e pesquisadores heroicos”.

Mas quais episódios possibilitaram a disseminação do WannaCry, na sexta-feira, 12 de maio? Qual é o real contexto do WannaCry?

Para compreendermos melhor o incidente é necessário voltar no tempo e conhecer personagens, contextos e analisar acontecimentos. Mas não se engane, nem tudo é tão obscuro e misterioso quanto parece.

Se há algo que tiramos de lição com o episódio WannaCry é que segurança da informação não deve se restringir a um grupo de técnicos enclausurados nos departamentos de TI.

A repercussão do ataque

O episódio WannaCry foi um ataque divulgado amplamente pelos maiores portais do mundo. O Jornal Nacional, por exemplo, chegou a chamar Marcus Hutchins (conhecido pelo seu blog @malwaretechblog) de herói, afinal, ele teria contido um ataque sem precedentes e, por seu ato heroico, o mundo teria  “voltado a respirar”.

O incidente foi noticiado de forma inflada e romantizada, deixando muitas dúvidas e impressões equivocadas.

O próprio Marcus disse que sua intenção inicial não achar o killswitch. Na verdade, ele apenas notou um comportamento estranho do malware durante uma análise que fazia para o seu blog. Mesmo assim, segundo ele, ainda demorou um tempo para entender o que estava acontecendo.

O que ele percebeu com isso é que o que inicialmente pensou ser um killswitch (alguma coisa que pudesse parar o ataque, caso aquilo saísse de proporção) na verdade era a reprodução grosseira de uma técnica para burlar sandbox. Se tratava de um código amador em que a técnica foi mal utilizada, possibilitando um killswitch acidental.

Com isso, Marcus recebeu ajuda de pesquisadores do mundo todo, colaborando para identificar o comportamento e as técnicas utilizadas pelo malware. Ao ser perguntado sobre que recomendações daria para a prevenção de ataques futuros, limitou- se a dar duas respostas.

A primeira foi: “Mantenha seus sistemas atualizados;”, e a segunda, que fez com que Marcus realmente se tornasse um herói para os profissionais do segmento, foi: “Dê um aumento aos times de TI”

Não vimos uma contextualização muito grande sobre o ataque, não sabemos ainda qual foi sua importância histórica e o que isso vai mudar nas nossas rotinas. E o mais grave, a mídia cometeu sérios erros na divulgação do realmente aconteceu.

Você deve ter visto a reportagem do Jornal Nacional sobre o incidente. Eles noticiaram que o valor de resgate pedido pelo WannaCry era de 300 bitcoins – o que seria equivalente a 1,6 milhões de reais por máquina na cotação da época.  Também chegaram a afirmar que o valor faturado pelos hackers era de quase 1 bilhão de dólares.

A verdade é bem menos inflada. O valor do resgate inicial era de 300 dólares por máquina e o valor arrecadado não passou de 150 mil dólares, um pouquinho abaixo do valor divulgado. Vê a desinformação que ronda a história?

Pois é, essa foi apenas uma das muitas evidências que tivemos da falta de consciência da sociedade em como lidar com esses novos riscos cibernéticos. Além da falta de familiaridade com o tema, a velocidade com que o malware conseguiu se espalhar, explorando uma vulnerabilidade já conhecida, demonstrou a fragilidade da nossa indústria para lidar com os novos riscos cibernéticos.

A desinformação promovida pelos principais veículos de mídia foi crucial para fomentar o desespero que tomou conta do imaginário de grande parte da população.

Por que o WannaCry é pop?

O WannaCry foi o primeiro cryptoworm de sucesso da história. Um worm é um malware auto replicável e geralmente imperceptível para o usuário. É comum que eles sejam percebidos apenas quando a replicação descontrolada consome recursos do sistema, abrandando ou interrompendo outras tarefas.

Nós temos então o ransomware, que já vem causando uma enorme dor de cabeça, com a capacidade de criptografar os dados do sistema, combinado com um worm, que permite um alcance e propagação muito maiores.

Outro fator agravante foi que o ataque explorou uma base enorme de dispositivos. A vulnerabilidade era de um sistema amplamente utilizado no mundo inteiro – o Windows.

Além de um enorme lucro cessante pela paralisação das operações, o custo do cibercrime só aumenta com ataques dessa proporção – não somente o custo direto, o pagamento do resgate foi o menor dos custos.

No Brasil, o Tribunal de Justiça de São Paulo, o Tribunal Regional do Trabalho de São Paulo e o Ministério Público do Estado de São Paulo tiveram que desligar seus servidores como medida de contenção, o que causou indisponibilidade de seus sites e sistemas.

O prejuízo para a sociedade de ter um serviço público do poder judiciário sendo desligado é enorme.

O que permitiu o ataque?

Outra pergunta que os meios de comunicação não se propuseram a responder é: o que permitiu esse episódio?

Para entendermos melhor o episódio WannaCry, temos que voltar algumas semanas e conhecer como ele nasceu e atingiu a magnitude global.

O cenário em 2016

Em agosto de 2016, o grupo hacker Shadow Brokers fez sua primeira aparição pública com um leak de ferramentas e vulnerabilidades que já eram utilizadas em 2010.

Até aquele momento, muitos especialistas achavam que a informação era falsa.  Porém, com a primeira análise de código do vazamento foi possível identificar que as informações e documentos pertenciam ao Equation Group – grupo hacker ligado diretamente a NSA.

O grupo Shadow Brokers propõe então um leilão virtual, chamado de Shadow Brokers Equation Group Auction, de documentos e ferramentas a fim de arrecadar 1 milhão de bitcoins – cerca de US$580 milhões na cotação da época.

Alguns especialistas acreditavam que o grupo não tinha intenção de vender realmente os dados, apenas causar um constrangimento aos EUA e o sistema de inteligência americano.

Enquanto isso, Hillary Clinton e Donald Trump se enfrentavam em debates e acusações públicas na grande mídia. Após o vazamento dos e-mails do Partido Democrata pelo WikiLeaks e apenas 9 dias antes das eleições americanas, Shadow Brokers faz um novo leak. Dessa vez com servidores “ownados” pelo Equation Group e sete novas ferramentas do grupo, que já eram utilizadas pelo menos desde 2013.

E ainda fazem comentários sobre a eleição americana, incentivando as pessoas a votarem, e falando da importância de não colocar as elites financeiras no poder.

Se intensificam comentários e suspeita sobre interferência russa sobre as eleições americanas, principalmente pelo Partido Democrata. Pouco depois, Trump é eleito o 45° presidente dos EUA.

Logo depois, a CIA e a NSA apontam indícios de tentativas do governo russo de influenciar o resultado das eleições americanas. Por conta desses acontecimentos, Obama abre investigação e coloca em prática sanções contra a Rússia, como deportação de 35 agentes suspeitos que fazem parte do sistema de inteligência russo e restrições aos dois principais serviços de inteligência russo.

Os acontecimentos de 2017

Fazendo uma análise minuciosa dos eventos podemos notar alguns gaps de tempo significativos, que levantam mais dúvidas do que esclarecimentos.

Em janeiro, o grupo Shadow Brokers lançou alguns prints do portfólio de exploits e toolkits que possuíam. Não divulgaram nenhum executável, somente screenshots.

Pouco depois, o grupo hacker anuncia que vai encerrar as atividades devido aos altos riscos e baixo retorno, mas continuam aceitando doações em sua carteira de bitcoin.

O grupo fez um leak de 61 arquivos – ao invés de 58 como haviam listado –, alguns com assinaturas conhecidas por somente 12 dos 58 produtos disponíveis no Virus Total.

A Kaspersky foi a empresa que mais identificou assinaturas, 43 das 61, tendo em vista que acompanham de perto do Equation Group desde 2015.

Em março, o Microsoft Security Bulletin reporta soluções para o exploits de Windows que seriam vazados pelo Shadow Brokers. Exploits como ETERNAL BLUE e DOUBLE PULSAR EXPLOIT, utilizados na campanha do WannaCry, já haviam sido identificados e solucionados.

Em resposta aos ataques químicos de Bashar Al-Assad, que matou mais de 80 pessoas, Trump autorizou o lançamento de 59 mísseis Tomahawk contra uma base aérea na Síria.

Após o ataque americano a base aérea síria, Shadow Brokers reaparece com a mensagem “Don’t Forget Your Base”, desaprovando a ação americana e reforçando uma mensagem anti-globalista e cobrando promessas de campanha de Trump, “Make America Great Again”.

O grupo admite um alinhamento ideológico momentâneo com a Rússia, o que confirma os indícios das investigações da CIA em dezembro de 2016. Enquanto isso, a Rússia oficialmente reprova o bombardeio americano na Síria e fala de “consequências sérias a operações ilegítimas”. Dias depois, Trump autoriza o lançamento da Mother of All Bombs (MOAB GBU-43) no Afeganistão.

Através da conta do grupo no Twitter (@shadowbrokerss), o grupo liberou senhas para sete toolkits e exploits já divulgados anteriormente, abrindo a caixa de pandora e dando acesso ao ETERNALBLUE e DOUBLE PULSAR, que exploravam as mesmas vulnerabilidades corrigidas pela Microsoft em março.

E é aí que o WannaCry explode como o primeiro ataque de ransomworm da história.

Se você quiser ver nosso infográfico detalhado com todos acontecimentos por trás do WannaCry, clique aqui.

Conclusão

O episódio WannaCry está longe de ser um evento isolado. Agora, mais do que nunca, assistimos à ação estratégica e articulada de governos em conjunto com grupos de hackers, cujos esforços não miram só em ganho financeiro, mas também em desdobramentos políticos.

O Equation Group é um grupo hacker vinculado a NSA e o governo americano. Um dos grupos mais sofisticados conhecidos, a característica principal deles é a utilização de criptografia forte. A eles é atribuída a criação do STUXNET e o FLAME.

O que temos hoje são governos fomentando o cibercrime para ofuscar operações com interesses político-militares. Nesse cenário, é possível acreditar em heróis?

Tornou-se bastante claro ao longo da última década que a noção de que é possível manter os atacantes afastados para sempre, ou o ambiente virtual permanentemente blindado é completamente enganosa. Os recentes episódios, em um mundo pós-Snowden, favorecem a imaginação sobre a capacidade desses órgãos de violarem a disponibilidade, integridade e confidencialidade de dados, dispositivos, redes e sistemas.

Já sobre o episódio WannaCry, podemos dizer que o maior ataque de ransomware mais popular da história diz mais sobre jogos de poder entre agências governamentais e empresas que se recusam a prestar a atenção adequada à segurança da informação do que sobre um ataque unicamente motivado pelo ganho financeiro.

Estamos em uma guerra onde nenhuma arma de fogo é necessária para causar danos e prejuízos enormes.

Definitivamente não estamos falando de um jogo justo.

Pra fechar, já viu nosso vídeo compilando a timeline listada nesse blog post?

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *