Seleccione Edição
Entra no EL PAÍS
Login Não está cadastrado? Crie sua conta Assine

Um domínio na web de 35 reais, o bloqueio inesperado ao ciberataque nos EUA

Uma solução rudimentar do Reino Unido deu tempo suficiente para impedir a propagação do vírus nos EUA

ciberataque
Exemplo do ciberataque em Taipei. EFE

Um sujeito chamado Darien Huss e um colega seu, que tuita no endereço @malwaretechblog, tornaram-se os heróis capazes de frear o gigantesco ataque de escala mundial desta sexta-feira, autores do que pode ser o maior resgate digital da história. “Vi que não estava registrado e pensei, ‘talvez eu devesse ficar com ele’”, escreveu Huss, pesquisador da Proofpoint, em sua conta no Twitter, ao ver que a solução, um tanto não usual e que mostra uma falha dos próprios criminosos, funcionava.

Ambos estudaram a forma de agir do WannaCry, nome dado ao software maligno que atacou grandes empresas na sexta-feira, entre elas Telefónica, Fedex e o serviço de saúde do Reino Unido (NHS). Viram que ao iniciar o ataque a um novo objetivo, WannaCry (em português “quero chorar”) contatava um nome de domínio (um endereço de internet), que consistia numa grande quantidade de caracteres cujo final sempre era “gwea.com”. Deduziram que se o WannaCry não pudesse ter acesso a esse endereço começaria a funcionar de modo errante pela rede mundial, procurando novos lugares para atacar, até acabar se desativando, como ocorreu.

Daí, seguindo essa lógica, comprou o domínio gwea.com. Adquiriu-o na NameCheap.com por 10,69 dólares (cerca de R$ 35) e o fez apontar para um servidor em Los Angeles que controlava, para poder conseguir informações sobre os autores do ataque. Tão logo o domínio foi ativado, pôde sentir a potência do ataque, mais de 5.000 conexões por segundo. Até que finalmente acabou por se desfazer sozinho.

Segundo eles explicaram ao Daily Beast, é muito provável que o autor do código maligno soubesse da falha, deixando-a para ser um interruptor de emergência para desativá-lo.

“Se não o tivéssemos parado, há quase 100% de chance de que tivesse continuado se transmitindo”, diz, “e isso vai continuar acontecendo enquanto as pessoas não fizerem os reparos de segurança”.

Ryan Kalember, da empresa de segurança Proofpoint, considera que a engenhosidade da dupla merece reconhecimento: “Merecem o prêmio de heróis por acidente. Talvez não estejam conscientes do quanto ajudaram a evitar que esse ransomware (denominação dos programas que exigem resgate) se difundisse pelo mundo todo”.

No momento em que registraram o domínio que interrompeu o avanço do ataque, milhares de computadores na Ásia e na Europa já estavam infectados, mas ele mal havia começado nos Estados Unidos, onde houve tempo para fazer o reparo de segurança e a imunização. A solução, que não ajuda quem teve suas máquinas infectadas, talvez não seja definitiva. Não se sabe se há variações desse software maligno com outros interruptores para cancelamento.

Shadow Brokers, o grupo que declara ter roubado as ferramentas de ciberespionagem da Agência Nacional de Segurança (NSA), compartilhando-as com a Wikileaks como forma de denúncia, liberou esse programa em 14 de abril. Quando se instala num micro, codifica todos os dados contidos nele e pede um pagamento para fazer o desbloqueio dos arquivos. No caso desta sexta-feira, o pedido por máquina infectada foi de 300 dólares (cerca de 1.000 reais). Segundo os cálculos da Kaspersky Labs houve registro de 45.000 ataques em 74 países.

RANSOMWARE, UMA AMEAÇA CADA VEZ MAIS PODEROSA

Joseph Popp, pesquisador da Aids no Reino Unido, ostenta uma honra duvidosa – difundiu o primeiro sequestro cibernético. Isso aconteceu em 1989, quando a internet era apenas uma rede acadêmica. Sua distribuição foi feita por meio de disquetes, com mais de 20.000 infectados em 90 países. O pagamento pedido na época variava de 189 a 378 dólares (cerca de 600 a 1.200 reais).

Desde então esses ataques não pararam de se multiplicar e se sofisticar, tanto na difusão quanto na forma recolher o resgate.

A partir de 2000 se tornaram um modelo de negócio para os profissionais do cibercrime. Entre abril de 2014 e março de 2015 CrytoWall foi protagonista intermitente dos pesadelos dos responsáveis pela segurança das empresas. O preço de liberação passou de uma média de 1.000 reais em meados da década passada para cerca de 1.500 reais hoje. A quantia costuma ser multiplicado caso se ultrapasse a data limite imposta pelos autores do ataque. O bitcoin, a moeda digital mais comum, é o modo de pagamento mais aceito nesse mundo nebuloso.

Em 2016 o sistema de hospitais de Los Angeles pagou por sua liberação. Em Ottawa foram infectadas mais de 9.800 máquinas de um hospital. O sistema público de transporte de San Francisco sofreu um ataque em 25 de novembro do ano passado, tendo sido exigida para sua liberação a quantia de 100 bitcoins, que acabou atingindo quase 230.000 reais.

MAIS INFORMAÇÕES