O ataque cibernético que fez um território americano voltar no tempo

Não se sabe de onde vieram. Mas, quando chegaram, foram logo seis malwares -- softwares maliciosos -- que atacaram o distrito Matanuska-Susitna, do Alasca.

Eles rapidamente se espalharam pelas redes de computadores da região, interrompendo uma quantidade desconcertante de serviços. Centenas de funcionários não conseguiram acessar seus sistemas de trabalho. Bibliotecários receberam alertas para desligar urgentemente todos os computadores públicos. O abrigo de animais perdeu o acesso aos dados sobre medicamentos de seus inquilinos peludos.

E não parou por aí. Um sistema de reservas online para aulas de natação caiu, obrigando os interessados a formarem uma fila. Um escritório passou a usar máquinas de escrever. E Helen Munoz, uma mulher de 87 anos que faz campanha por melhorias no sistema de esgoto da área, recebeu uma resposta inesperada a uma de suas frequentes ligações a administradores locais: "Nossos computadores estão desligados".

"O ataque cibernético, meu Deus, quase parou tudo", diz ela. "Na verdade, o distrito ainda não resolveu todos os problemas com seus computadores".

Matanuska-Susitna, conhecida como Mat-Su, ainda tenta se recuperar do que aconteceu em julho de 2018. Quando os primeiros sinais de malware apareceram, ninguém esperava a turbulência que se seguiu. A equipe de TI trabalhava até 20 horas por dia, encarregada de restaurar 150 servidores.

Mat-Su é um distrito em grande parte rural que abriga apenas cem mil pessoas. Por isso seria um alvo improvável de um ataque cibernético.

Esta é a história do que aconteceu.

Na manhã de 23 de julho de 2018, funcionários do vilarejo de Palmer, no distrito Matanuska-Susitna, chegaram para trabalhar como de costume. Em poucas horas, um programa antivírus sinalizou uma atividade incomum em alguns computadores.

O diretor de TI local, Eric Wyatt, pediu a sua equipe para dar mais atenção àquilo. Eles, então, encontraram arquivos maliciosos e, portanto, seguiram o procedimento padrão: pedir à equipe para alterar suas senhas e, enquanto isso, preparar um programa para limpar automaticamente o software suspeito.

Quando lançaram o mecanismo de defesa, entretanto, houve uma resposta não esperada.

Resposta automática

Wyatt observou a rede se iluminar. Parecia que um ataque maior ou de segundo estágio havia sido acionado. Talvez alguém estivesse monitorando as ações do departamento de TI ou foi uma resposta automática do malware.

De qualquer maneira, ele começou a se espalhar ainda mais e, em alguns casos, bloqueou mais arquivos de funcionários e exigiu pagamentos de resgate.

Essa forma de malware é conhecida como "ransomware" - uma ameaça cada vez mais comum e perigosa aos sistemas de computadores. Nos últimos anos, surtos de ransomware em todo o mundo interromperam temporariamente hospitais e fábricas, confundiram as operações nos principais portos e levaram centenas de escritórios ao caos.

O custo total anual dos eventos de ransomware está estimado em vários bilhões de dólares, segundo a empresa de pesquisa Cybersecurity Ventures.

A escala desses ataques cibernéticos foi certamente nova para Wyatt, que iniciou sua carreira em TI na Força Aérea dos EUA.

"Tenho mais de 35 anos neste negócio e sempre lidei com esse tipo de coisa", disse Wyatt. "Esse (ataque) foi certamente o maior que eu já vi, o mais sofisticado".

Quando percebeu que o incidente causaria dor de cabeça, ele se dirigiu ao gestor do distrito, John Moosey, que, por sua vez, informou o FBI sobre o que parecia um grande ataque cibernético. "Isso realmente nos afetou muito", contou Moosey.

Quase todos os telefones de escritórios do distrito tiveram que ser desligados. Especialistas em TI foram recrutados para ajudar na recuperação dos sistemas. Mais de 700 dispositivos, entre impressoras e computadores, foram verificados e limpos.

"Todos os dados são considerados suspeitos", dizia uma atualização publicada pouco tempo depois.

No departamento de compras do distrito, a equipe preenchia formulários à mão quando alguém teve uma ótima ideia. Foram até o depósito e resgataram duas antigas máquinas de escrever eletrônicas. Tiraram seu pó e passaram a usá-las, um movimento que chegou às manchetes internacionais.

Como os sistemas foram colocados offline e a equipe mudou para telefones celulares e serviços temporários de webmail, as atividades do distrito foram forçadas a desacelerar. Programas de computador haviam sido projetados para ajudar a processar tudo, desde dados em canteiros de obras até pagamentos com cartão de crédito no aterro sanitário local. Mas agora estavam todos sem ação.

"O vírus foi terrível", disse Peggy Oberg, da Biblioteca Pública de Big Lake, no centro-sul de Mat-Su.

No período de uma semana, a biblioteca acolheu entre 1,2 mil e 1,5 mil pessoas em busca de serviços de internet e computadores.

Oberg ainda se lembra da ligação recebida do departamento de TI, que pediu que a biblioteca desconectasse todos os computadores e impressoras - não apenas desligando-os, mas desconectando-os. O wi-fi público também foi desligado. Em 20 anos, Oberg nunca tinha recebido uma ligação como aquela.

Perda de arquivos

Equipes de outras bibliotecas também não conseguiram catalogar livros, procurar novos itens solicitados por usuários ou se comunicar por canais habituais com colegas de Mat-Su. Por algumas semanas, eles ficaram parcialmente isolados. Oberg passou dois meses preocupada de que dados e serviços da biblioteca fossem perdidos para sempre.

"Eu estava enlouquecendo de imaginar que eles não fossem recuperados", lembra. Felizmente, mais tarde ela soube que os arquivos haviam sido restaurados, nove semanas depois do último acesso antes do ataque.

O abrigo local de animais de Mat-Su recebe entre 200 e 300 animais por mês - desde animais de estimação perdidos até gado retirado das estradas. Os computadores da equipe do abrigo foram levados.

Sem registros de medicamentos ou outras informações de casos antigos, os funcionários não sabiam quanto cobrar das pessoas que vinham coletar os animais. O site com fotos de animais para adoção também não pôde ser atualizado.

Moradora de Palmer, Helen Munoz, de 87 anos, gerenciava um negócio de tanque séptico e esgoto. Hoje ela faz parte de um comitê que supervisiona a construção de uma nova estação de tratamento de águas residuais.

Munoz estava frustrada pela maneira como a comunicação ineficiente vinha prejudicando o distrito.

"Eu não me importo com a tecnologia, mas, quando não consigo garantir a construção de um sistema de esgoto, fico muito irritada."

Outros estavam igualmente preocupados. Um morador chegou a postar no Facebook sobre o ataque cibernético: "É incrível como isso pode afetar o nosso dia-a-dia."

"Até agora, isso mudou a forma como eu pagava pelo depósito de lixo; não recebi o email provando que meu cachorro tomou a vacina anti-rábica e imagino que também será diferente quando for pagar meus impostos."

Agentes imobiliários de Mat-Su, que se conectam a um sistema online para ter acesso a dados cadastrais locais, viram-se sem ter o que fazer. E até o sistema de inscrição de crianças para aulas de natação sofreu impacto.

"Todo mundo tinha que ficar na fila, tudo foi feito à moda antiga", diz Nancy Driscoll Stroup, advogada local.

Até agora, o incidente custou à Mat-Su mais de US$ 2 milhões (R$ 7,4 milhões).

Logo após o início do ataque, os investigadores encontraram evidências de que o malware estava nos sistemas do município desde maio.

Isso aumenta a curiosidade de Stroup, que lembra que uma delegação do bairro visitou a China em uma missão comercial naquele mês. Embora ninguém tenha feito qualquer ligação oficial com os chineses, houve alegações de envolvimento chinês em outros episódios recentes de hackers.

Enquanto vasculhavam os destroços digitais, Wyatt e seus colegas perceberam que o malware havia depositado dados em arquivos com um número específico nos computadores atacados. Depois perceberam que o número 210 identificou Mat-Su como a 210ª vítima dessa versão específica do malware; as outras 209 vítimas ainda são desconhecidas.

Eles também recolheram pistas sobre como o ataque começou. Wyatt acredita ter sido um ataque de phishing direcionado, no qual uma organização trabalhando para o distrito foi comprometida em outro ataque.

Isso permitiu, diz ele, que alguém enviasse um email malicioso, contendo o primeiro lote de malware, para um funcionário de Mat-Su.

Os criadores do malware encobrem ataques em mensagens aparentemente inofensivas para aumentar as chances de que um clique no link ou download de um anexo infecte o computador. A partir daí, ele atinge outras máquinas da rede.

Ações de reparação

Mas Wyatt não culpa ninguém por ter sido enganado. "Os únicos culpados são os que escrevem os vírus", diz ele.

Nas dez semanas seguintes, uma equipe restaurou a maioria dos serviços afetados em Mat-Su.

Em agosto de 2018, Wyatt apareceu em um vídeo oficial no YouTube explicando a extensão da operação de recuperação. Especialista em TI, Kurtis Bunker também afirmou no vídeo que o FBI estaria "surpreso" com a forma como a equipe de Mat-Su reagiu ao ataque.

Nem todo o público estava entendendo. "Quem ou por que alguém iria 'hackear' uma pequena cidade?", zombou um usuário do Facebook. Mas muitos apoiaram as ações. E várias organizações que têm relações comerciais com o distrito fizeram um esforço para garantir que o ataque cibernético não se estendesse ainda mais.

O único motivo plausível para o ataque é o de os criadores do malware pensarem que poderiam cobrar por um resgate. Mas o conselho do FBI foi claro, segundo Wyatt: "Não pague".

William Walton, agente do FBI que investiga o que aconteceu em Mat-Su, diz que esse tipo de ataque pode ter sérias consequências. Sendo uma comunidade pequena, Mat-Su tem menos estrutura de segurança de rede.

"Em termos de infraestrutura, ela não tem o mesmo nível de recursos de uma grande área metropolitana, por isso consideramos esse como um evento crítico de infraestrutura", diz Walton.

Talvez nunca saibamos quem atacou Mat-Su ou o porquê. Mas tais incidentes são inquietantemente comuns. Como comunidades e empresas dependem de computadores para as tarefas mais básicas, a periculosidade de um criminoso cibernético só aumenta.

Agora, os vilarejos de Mat-Su sabem bem disso.