Ataque que afetou 74 países usa brecha vazada do governo dos EUA
Pesquisadores das empresas de segurança Kaspersky Lab, Panda Labs e Malwarebytes afirmaram que a nova versão do vírus de resgate “WannaCryptor”, responsável por ataques em 74 países, inclusive em hospitais no Reino Unido, tem a capacidade de se espalhar automaticamente de um computador para outro usando uma vulnerabilidade que era exclusiva do governo dos Estados Unidos e que foi vazada na internet em abril.
O defeito existia no Windows até o dia 14 de março, quando a Microsoft corrigiu o problema por meio de uma atualização. Quem não atualizou o sistema desde então ainda permanece vulnerável e está sujeito ao ataque. Usuários domésticos normalmente estão protegidos pelo firewall do Windows, mesmo que não tenham aplicado a atualização.
A brecha permite que o vírus contamine outros computadores, especialmente sistemas da mesma rede, sem nenhuma interação do usuário. Dessa forma, um único computador infectado dentro de uma empresa, por exemplo, poderia contaminar vários outros. A Microsoft classificou a brecha como “crítica”, o tipo mais severo.
A vulnerabilidade era conhecida pela Agência de Segurança Nacional dos Estados Unidos (NSA) pelo codinome de “EternalBlue” (“azul eterno”). A agência decidiu não comunicar a Microsoft sobre o problema, preferindo utilizá-la em suas próprias ações de espionagem — uma atitude muito criticada por especialistas, que argumentam que brechas deixadas em aberto podem acabar prejudicando a própria população norte-americana.
Microsoft soube da falha antes do vazamento
A EternalBlue passou a ser do conhecimento de toda a internet em abril, quando foi divulgada pelo grupo “Shadow Brokers”. Ativo desde agosto de 2016, o Shadow Brokers vem vazando diversas ferramentas de ataque e outros dados atribuídos à NSA, inclusive listas com alvos visados pelo espiões norte-americanos. Acredita-se que o grupo teve acesso a algum sistema de ataque ou servidor interno da agência para obter os programas exclusivos do governo.
Os Shadow Brokers, porém, não identificam a NSA em seus vazamentos. Em vez disso, eles afirmam que as ferramentas e dados pertencem ao “Grupo Equation”. Mas a documentação vazada por Edward Snowden fornece diversas pistas que apontam que o Equation e a NSA são a mesma organização; até os codinomes dos programas são idênticos.
O caso da brecha “EternalBlue” é curioso, pois a Microsoft corrigiu a falha um mês antes de ela ser divulgada pelo Shadow Brokers. Não se sabe como a Microsoft ficou sabendo do problema para corrigi-lo, pois a documentação técnica da atualização, que sempre agradece os colaboradores que relatam as falhas, não tem essa identificação.
A Microsoft também tomou a rara decisão de não lançar nenhuma atualização em fevereiro, o que deu ainda mais fôlego para as especulações de que algo fora do comum aconteceu em fevereiro e março.
A Microsoft identifica a falha com o boletim MS17-010.
Vírus de resgate
O WannaCryptor é um vírus de resgate. Ele embaralha os arquivos do computador, impedindo seu funcionamento normal. Para restaurar os arquivos e recuperar o sistema, a vítima precisa fazer um pagamento. Imagens do vírus indicam que a praga está pedindo US$ 300 (cerca de R$ 950) para serem pagos pela criptomoeda anônima Bitcoin até o dia 19 de maio.
Vírus de resgate normalmente não possuem qualquer capacidade para se transmitirem automaticamente de um computador para outro. Alguns ataques desse tipo de vírus, porém, já exploraram outras brechas do Windows ou configurações com senhas fracas. Esse tipo de característica, no entanto, é incomum.