Ir direto ao conteúdo

Quais os indícios de motivação política no mega-ataque hacker iniciado na Ucrânia

Autoridades e especialistas em segurança e tecnologia veem possível ação russa por trás de novo vírus

     

    Desde terça-feira (27), diversas empresas e instituições pelo mundo tiveram seus computadores atacados por um novo tipo de vírus, identificado por especialistas como Petya, ou NotPetya. As primeiras notícias vieram da Ucrânia, onde foram afetados usinas, aeroportos, centrais de tráfego, a central de monitoramento de radiação de Tchernobil e até o Banco Central do país, alvo de 60% das infecções do vírus.

    O ciberataque espalhou-se rapidamente pelo mundo, atingindo  empresas como a Maersk, gigante de logística e transportes da Dinamarca, e a farmacêutica americana Merck, tendo chegado ainda à Índia, à Espanha, à França, ao Reino Unido e até ao Brasil.

    O novo ataque acontece pouco mais de um mês depois que o vírus Wannacry atingiu computadores de instituições e empresas em 150 países pelo mundo. E explora a mesma brecha: uma falha no sistema operacional Windows - conhecida pela NSA, a agência de segurança nacional americana, mas não tornada pública até um vazamento em abril de 2017. O Petya, ou NotPetya, porém, é bem diferente do Wannacry.

    Por que este ataque é diferente

    Por usar a mesma brecha no Windows que o Wannacry, e por ter se espalhado rapidamente em grande escala, o Petya, ou NotPetya, foi identificado como um ransomware. “Ransom” é resgate em inglês. O nome é usado para descrever o vírus que “sequestra” informações de um computador e cobra um preço para devolvê-las. Trata-se de uma atividade criminosa lucrativa: rendeu US$ 1 bilhão para hackers em 2016.

    O Wannacry fazia o sequestro, criptografando arquivos, e pedia em troca o equivalente a US$ 300 em bitcoins, a moeda virtual que garante agilidade e anonimato. O pedido de resgate aparecia traduzido, para quem contraía o vírus, em mais de duas dezenas de línguas. O Petya, ou NotPetya, também pede US$ 300 dólares para descriptografar arquivos. Porém, dias depois que o novo ciberataque se generalizou, especialistas passaram a identificá-lo não como ransomware, mas com um outro tipo de software malicioso: o wiper.

    “Wipe” em inglês é “apagar”. Ou seja: o Petya, ou NotPetya, não sequestra os dados da rede que ataca, mas simplesmente os destrói. Analistas da empresa de antivírus Kaspersky Lab explicaram o detalhe técnico que indica a intenção destrutiva do novo ciberataque.

    Para liberar informações roubadas, hackers precisam de uma espécie de número de identificação do computador. Esse número normalmente aparece na mensagem que pede o resgate. Essa versão do vírus, porém, cria um número aleatório, o que significa que, mesmo que a vítima do ataque pague o resgate, não é possível recuperar os dados. Por isso ele está sendo apelidado, também, de “NotPetya”, já que o Petya original, surgido em 2016, era um típico ransomware, que visava apenas dinheiro, sem destruir arquivos.

     

    Qual foi a motivação do ataque

    Segundo analistas de tecnologia, o novo ataque usou o disfarce de ransomware para atrair atenção da mídia internacional - que havia dado muito destaque para o Wannacry, em maio. Agora, os especialistas apontam alguns indícios de que o Petya, ou NotPetya, poderia ter motivação política.

    Em primeiro lugar, o Petya, ou NotPetya, criou caminhos muito simples para coletar dinheiro, segundo disse ao “The New York Times” Justin Harvey, diretor da empresa de segurança Accenture Security. Normalmente, o ransomware dá várias alternativas para pagamento do resgate. O novo ciberataque, porém, deu apenas um endereço de e-mail, que foi tirado do ar na quarta-feira (28), um dia depois que o vírus começou a se espalhar. E disponibilizou apenas uma conta de Bitcoin - que arrecadou não mais que US$ 10 mil.   

    “Definitivamente, [este ataque] não foi pensado para ganhar dinheiro. Foi pensado para se espalhar rapidamente e causar danos, com um disfarce de ransomware”, escreveu um analista de segurança

    Em um post no blog da Kaspersky, especialistas mostram que o Petya, ou NotPetya, bem mais do que indivíduos, afetou principalmente grandes empresas na área de finanças e da indústria de energia. “É uma ameaça extremamente perigosa para setores críticos de infraestrutura porque o ataque pode impactar os sistemas de automação e controle da vítima. Isso pode afetar não somente os negócios e as finanças, mas também a segurança das pessoas”, diz o texto.

    Quem está por trás deste ataque

    Não é possível identificar com certeza quem está por trás deste novo ciberataque. Mas, segundo uma reportagem da revista “Wired”, são fortes os indícios de que é alguém que quer atingir, em especial, a Ucrânia. E, para o governo ucraniano e alguns especialistas americanos, esse alguém é o governo russo.

    “Eu acho que foi direcionado para nós. E com certeza não foi um ato criminoso comum. É provavelmente bancado por algum Estado. É difícil imaginar qualquer outro [que não a Rússia] que faria isso”, disse Roman Boyarchuk, diretor do Centro de Ciberdefesa do governo da Ucrânia. Como lembra o “New York Times”, o ciberataque ocorreu um dia antes do feriado que celebra a adoção da primeira constituição ucraniana em 1996.

    Além disso, segundo a Microsoft, os computadores da Ucrânia foram os mais afetados. Isso porque o Petya, ou NotPetya, começou a se alastrar a partir de um software específico ucraniano chamado M.E.Doc, um programa que praticamente todas as empresas do país usam para declarar imposto. Só depois é que o vírus se espalhou pelo mundo, por meio de e-mails maliciosos.

    Ainda segundo a “Wired”, o governo ucraniano diz ter evidências de que meses antes do ciberataque já havia ocorrido invasões dos sistemas de empresas de infraestrutura e do governo que ajudaram a aumentar o efeito destrutivo do Petya, ou NotPetya.

    "[Quem fez este vírus] tem uma ideia bem clara de quem quer afetar: as empresas associadas com o governo ucraniano. É bem óbvio que este é um manifesto político”, disse Craig Williams, diretor de pesquisa da empresa de segurança Cisco Talos. Um outro pesquisador concorda. Nick Weaver, do Instituto de Computação da Universidade de Berkeley, nos EUA, disse à “Wired” que “ou eles simplesmente fizeram tudo errado com um ransomware, de forma inexplicável, ou então o objetivo real foi travar computadores, de um jeito que é bem enviesado contra a Ucrânia”.

     

    Autoridades ucranianas vêm culpando a Rússia por ciberataques desde que o país sofreu um apagão em 2015. Em dezembro de 2016, o presidente da Ucrânia, Peter Poroshenko, acusou o governo de Vladimir Putin de promover uma ciberguerra. A Rússia nega que seja a autora de tais ataques.

    Os dois países têm um histórico de disputas que remonta ao século 19, quando o czarismo tentou “russificar”o território ucraniano. Essa disputa passa pela incorporação da Ucrânia às repúblicas soviéticas em 1921 e culmina com a crise recente na Crimeia, que em 2014 sofreu anexação militar por Putin.

     

    Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project.

    Já é assinante?

    Entre aqui

    Continue sua leitura

    Para acessar este conteúdo, inscreva-se abaixo no Boletim Coronavírus, uma newsletter diária do Nexo: