Peculiaridades de vírus WannaCry intrigam especialistas em segurança digital

CINGAPURA (Reuters) - O vírus WannaCry que se espalhou por computadores de mais de 100 países em questão de horas trouxe uma série de surpresas para especialistas em segurança digital, incluindo a forma como ganhou força inicial e por que os hackers que o criaram não estão conseguindo fazer muito dinheiro com ele.

Alguns pesquisadores encontraram evidência que vincula a Coreia do Norte à disseminação do vírus, mas outros se mostram mais cautelosos, afirmando que o primeiro passo é encontrar respostas para as perguntas mais básicas sobre o WannaCry.

Por um lado, disse o responsável de segurança da IBM Caleb Barlow, os pesquisadores ainda não sabem exatamente como o malware se espalhou em primeiro lugar. A maior parte das companhias de segurança digital atribuíram isso a emails contaminados por arquivos com o WannaCry. Esta é a forma como se espalha a maior parte dos ransomwares, softwares que impedem o acesso aos dados de um computador e cobram quantias para a liberação.

O problema com o WannaCry, porém, é que Barlow e sua equipe não conseguiram encontrar um único email contaminado pelo vírus ao vasculharem mais de 1 bilhão de mensagens no banco de dados da IBM desde 1o de março.

"Assim que uma vítima dentro de uma rede se infecta, ele se propaga", disse Barlow, descrevendo uma vulnerabilidade no sistema operacional Windows que permite que o vírus passe de um computador a outro. "É estatisticamente muito incomum nós termos vasculhado e não termos encontrado indicadores", disse Barlow.

Outros pesquisadores concordam. "Não há agora indicação clara sobre as primeiras vítimas do WannaCry", disse Budiman Tsjin, da RSA Security.

Saber como um malware se propaga é chave para interromper ataques atuais e antecipar novos. "Como diabos isso foi parar lá? Isso pode se usado repetidamente de novo?", questionou Barlow.

Algumas companhias de segurança digital, entretanto, afirmaram que encontraram alguns exemplos de emails contaminados. A FireEye disse que tem conhecimento de clientes que usaram seus relatórios para identificar com sucesso alguns emails associados ao ataque do WannaCry. Mas a empresa afirmou que o malware dependeu menos de emails do que outros ataques para se espalhar. Assim que um certo número de infecções foi atingido, o vírus foi capaz de usar a vulnerabilidade do Windows para se propagar sem ajuda das mensagens contaminadas.

Outro mistério é o baixo volume de recursos pagos pelas vítimas do vírus, cerca de 50 mil dólares em bitcoins depositados em três carteiras.

Jonathan Levin, da Chainalysis, empresa que monitora pagamentos em bitcoins, afirmou que na campanha do WannaCry há uma falta de métodos sofisticados usados em casos anteriores para convencer as vítimas a pagar. No passado, isso chegou a incluir linhas de telefone em vários idiomas.

Segundo Levin, as bitcoins pagas continuam nas carteiras indicadas pelos hackers. No caso do vírus Locky, por exemplo, os atacantes conseguiram 15 milhões de dólares ao esvaziarem as carteiras de bitcoins regularmente. "Eles (responsáveis pelo WannaCry) não montaram direito o esquema para lidar com os pagamentos de bitcoins", disse Levin.

A falta de sofisticação nos pagamentos pode dar razão a especialistas de segurança de computadores que afirmam que encontraram evidência de que o WannaCry pode estar vinculado à Coreia do Norte.

Simon Choi, pesquisador sênior da sul-coreana Hauri Labs, afirmou na terça-feira que a Coreia do Norte estava desenvolvendo e testando programas de ransomware desde agosto. Em um caso, os hackers exigiram bitcoins em troca por informações de clientes roubadas de um shopping center sul-coreano.

Choi, que tem feito um extenso trabalho de pesquisa sobre as capacidades hacker da Coreia do Norte, afirmou que seus resultados se equiparam aos obtidos pelas empresas de segurança Symantec e Kaspersky Lab, que dizem que parte do código usado em uma versão anterior do WannaCry apareceu em programas usados pelo grupo Lazarus. O grupo é identificado por alguns pesquisadores como uma operação hacker administrada pela Coreia do Norte. O Lazarus é apontado como responsável pelo roubo de 81 milhões de dólares de contas do banco central de Bangladesh e os EUA afirmam que ele também esteve por trás do ataque à Sony Pictures em 2014.

Quem quer que esteja por trás do WannaCry, afirma Marin Ivezic, especialista em segurança digital da PwC em Hong Kong, a forma como os hackers usaram de maneira tão eficiente ferramentas disponíveis livremente pode ser o que torna o vírus preocupante.

Ao unirem uma ferramenta desenvolvida a partir de arquivos vazados da agência de segurança nacional dos EUA (NSA) com seu próprio ransomware, "eles conseguiram melhor distribuição do que poderiam conseguir da forma convencional", disse Ivezic.

A NSA usou uma falha no Windows para criar uma ferramenta hacker chamada EternalBlue que acabou indo parar nas mãos de um grupo misterioso chamado Shadow Brokers, que, então, disponibilizou a ferramenta e outros programas do tipo na Internet.

"A EternalBlue demonstrou agora o retorno sobre o investimento e isso vai se tornar o foco de pesquisa de cibercriminosos", disse Ivezic.