Grande parte dos ciberataques são bastante comuns. Nos piores casos, o usuário vê um pedido de resgate na tela que avisa que o computador está encriptado e que será desbloqueado apenas mediante ao pagamento de um resgate. No entanto, muitas vezes nada visível acontece – muitos tipos de malware agem o mais discretamente possível para maximizar o roubo de dados antes de serem detectados.
Porém, a escala e sofisticação de alguns ciberataques chamam atenção. Esse texto é dedicado aos cinco ataques cibernéticos mais espetaculares e famosos da última década.
O ataque do WannaCry colocou os ransomware e os malware de computadores em geral na mira de todas as pessoas, até daquelas que não sabem o que é um byte. Com o uso de exploits do grupo de hackers Equation Group, oferecidos publicamente pelo Shadow Brokers, os criminosos criaram uma monstruosidade – um ransomware criptógrafo capaz de se espalhar rapidamente pela Internet e mídias sociais.
A epidemia de quatro dias do WannaCry derrubou mais de 200 mil computadores em 150 países – incluindo infraestruturas críticas. Em alguns hospitais, o ataque encriptou todos os dispositivos, até mesmo equipamentos médicos; e algumas indústrias foram obrigadas a parar de produzir. Dentre os ataques recentes, o WannaCry foi o com maior alcance.
Dito isto, o título de epidemia mais cara não vai para o WannaCry, mas para outro cryptor ransomware (tecnicamente um wiper, mas isso não altera a moral da história) chamado ExPetr, também conhecido como NotPetya. Seu princípio operacional era o mesmo: com o uso de exploits do EternalBlue e EternalRomance, o worm passeou pela internet e criptografou, irreversivelmente, tudo pelo seu caminho.
Embora o número de máquinas infectadas tenha sido menor, a epidemia NotPetya focou principalmente em empresas, em parte porque um dos vetores de propagação inicial se dava por meio do software financeiro MeDoc. Os cibercriminosos conseguiram obter o controle do servidor de atualização do programa, o que fez com que muitos clientes que utilizavam o MeDoc recebessem o malware disfarçado como uma atualização, que então se espalhava pela rede.
O prejuízo do ciberataque do NotPetya está estimado em U$10 bilhões, enquanto o do WannaCry, de acordo com diversas estimativas, oscila na faixa de U$4 a U$8 bilhões. O NotPetya é considerado o ciberataque global mais caro da história. Torcemos para que esse recorde demore a ser quebrado, caso isso aconteça algum dia.
Provavelmente o ataque mais conhecido foi o do malware complexo e multifacetado que desligou centrífugas de enriquecimento de urânio no Irã, atrasando o programa nuclear do país por vários anos. O Stuxnet foi o primeiro a levantar o tema sobre o uso de armas cibernéticas contra sistemas industriais.
Na época, não havia nada mais complexo ou astuto do que o Stuxnet – o worm foi capaz de se espalhar imperceptivelmente por meio de pendrives USB e penetrar até mesmo em computadores que não estavam conectados à Internet ou às redes locais.
O worm ficou fora de controle e rapidamente se proliferou pelo mundo, infectando centenas de milhares de computadores. Contudo, não foi capaz de danificar esses computadores; havia sido criado para uma tarefa muito específica. O worm se manifestou apenas em dispositivos operados por softwares e controladores programáveis da Siemens. Nessas máquinas, reprogramou esses controladores e então, ao aumentar muito a velocidade rotacional das centrífugas de enriquecimento de urânio, acabou por destruí-las fisicamente.
Não é nenhum segredo que redes WiFi públicas de cafés ou aeroportos não são as mais seguras. Ainda assim, muitos pensam que nos hotéis as coisas são melhores – em geral, mesmo se a rede de um hotel for pública, pelo menos algum tipo de autorização para autenticação do usuário é solicitada.
Esses equívocos já custaram caro para muitos gerentes e funcionários de alto escalão. Ao conectarem-se ao WiFi de um hotel, foi solicitada a instalação de uma atualização aparentemente legítima de um software popular, porém os dispositivos foram imediatamente infectados com o spyware DarkHotel, que os criminosos introduziram especificamente na rede alguns dias antes da chegada desse grupo e removeram depois. O spyware sorrateiro permitiu que os cibercriminosos lançassem ataques de phishing direcionados.
As botnets existem há séculos, mas o surgimento da Internet das Coisas realmente as deu nova vida. Dispositivos cuja segurança nunca foi considerada e para os quais não existia antivírus começaram a ser infectados subitamente em larga escala. Esses dispositivos, então, rastrearam outros do mesmo tipo e os infectaram imediatamente. Essa frota de zumbis, criada com um malware batizado romanticamente de Mirai (“futuro”, em japonês), cresceu e cresceu, apenas à espera de instruções.
Até que um dia – 21 de outubro de 2016 – os donos dessa botnet gigante decidiram testar suas capacidades e fizeram com que milhões de gravadores de vídeo, roteadores, câmeras IP e outros equipamentos “inteligentes” inundassem a Dyn, provedora de serviços de DNS, com solicitações.
A Dyn simplesmente não foi capaz de suportar um ataque DDoS tão grande. O DNS, assim como os serviços que dependem do sistema, ficaram indisponíveis: PayPal, Twitter, Netflix, Spotify, serviços online da PlayStation, e muitos outros nos Estados Unidos foram afetados. A empresa eventualmente se recuperou, mas a amplitude do ataque Mirai fez o mundo parar e refletir sobre a segurança das coisas “inteligentes” – foi o maior de todos os alertas.
Fonte: Kaspersky Lab