Era quase hora do almoço em Brasília quando chegou a notícia: uma das agências do Instituto Nacional de Seguro Social (INSS) em Barbacena (MG) tinha sido infectada por um ataque cibernético. Ao ligar a máquina, um aviso em tela vermelha indicava que o computador havia sido invadido e pedia um depósito em moeda virtual Bitcoin para liberar o sistema. A ordem de Ilton Fernandes Filho, coordenador geral de tecnologia do INSS, foi direta: aquela máquina deveria ser isolada. O trabalho nem tinha começado quando “pipocaram” em Brasília ligações de outras agências reportando o mesmo problema.
Fernandes tomou uma medida drástica: desligou todos os computadores da rede do INSS – o que interromperia o atendimento na tarde daquela sexta-feira, 12 de maio. Para isso, porém, era preciso ativar o comitê de crise da instituição – e muitos de seus membros estavam almoçando. O sistema do INSS só parou de fato às 14h – o que provocou uma redução de 80% nos atendimentos naquela tarde, na comparação com a média de atendimentos realizados no período em todo o País.
Não foi só o INSS que teve máquinas afetadas: empresas como a Telefônica, na Espanha, a Renault, na França, e o sistema de saúde pública no Reino Unido também foram infectados e paralisaram suas atividades. O culpado tinha um nome esquisito: WannaCry, um vírus de computador capaz de sequestrar os dados das máquinas e se espalhar pela internet. Ao todo, mais de 300 mil computadores em todo o mundo foram afetados pelo WannaCry – cerca de 2 mil deles estavam na rede do INSS. “Felizmente, os dados da rede da Previdência não foram afetados. Apenas foi perdido o que estava na área de trabalho de cada um desses computadores. Eram arquivos dos funcionários que utilizam aquelas máquinas”, explica Fernandes.
Inédito. Para especialistas em segurança, o WannaCry foi um ataque sem precedentes. “É o primeiro ransomworm da história, misturando dois tipos de ataques bem conhecidos: os ransomwares, invasões que criptografam os dados de uma máquina e pedem um resgate para liberá-los, e os worms, vírus que se propagam através de uma rede e exploram uma vulnerabilidade”, explica Fábio Assolini, analista de segurança da Kaspersky. Normalmente, osransomwares são direcionados a uma rede ou sistema, enquanto os worms se propagam pela rede sem direção específica.
Nascido no fim dos anos 1980, o sequestro de dados se tornou um tipo de ataque virtual comum nos últimos cinco anos. Isso se deve a dois fatores: o primeiro é o surgimento da moeda virtual Bitcoin, que tornou possível o pagamento dos resgate sem rastreamento. “Além disso, a quantidade cada vez maior de dados armazenados em equipamentos e o alto valor desses dados tornou o ransomware comum”, explica Miriam von Zuben, analista do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), ligado ao Comitê Gestor da Internet no Brasil (CGI.br).
Para o professor Marcos Simplício, da Escola Politécnica da Universidade de São Paulo (USP), o ransomware mostra um amadurecimento do cibercrime. “No início, as vulnerabilidades eram exploradas por hackers apenas por orgulho, como forma de demonstrar seu poder de ataque. Eram vírus que só atrapalhavam as pessoas, impedindo um computador de ser ligado, por exemplo”, explica ele. “A partir do início dos anos 2000, as invasões também tornaram-se um negócio.”
Ensaio.Interesse comercial até havia nos criadores do WannaCry – um dos avisos da famigerada tela vermelha era algo na linha “pague US$ 300 em até três dias para ter de volta seus arquivos amados”. Depois desse prazo, o preço dobrava. No entanto, os hackers só faturaram cerca de US$ 110 mil com o golpe, valor considerado baixo pelos analistas de segurança para a proporção dos ataques.
Para Assolini, o baixo faturamento é um indício de que o WannaCry foi um ensaio para outros ataques maiores. Segundo o analista, o ransomwareprecisaria usar uma carteira de bitcoins específica para cada máquina infectada. “No WannaCry, foram usadas apenas três carteiras de bitcoins. O criminoso não tinha como saber qual máquina resgatar”, explica.
Além disso, o ataque cibernético tinha um sistema de autodestruição muito simples, que foi encontrado rapidamente por pesquisadores. Outro fator importante é o fato de que o WannaCry utilizou uma vulnerabilidade divulgada em abril e já corrigida pela Microsoft. As máquinas afetadas foram aquelas que usam sistemas operacionais antigos – como o Windows XP ou Windows 7 –, que desativaram as atualizações. “Ataques semelhantes com certeza vão aparecer no futuro. Sistemas operacionais sempre têm falhas”, avalia Simplício.
Proteção.Desligar computadores, como fez o INSS, é uma solução apenas provisória. “É uma medida apenas para ganhar tempo. Se a máquina estiver vulnerável, quando ela for ligada ela será atacada”, diz Assolini. Além disso, nem sempre as máquinas podem ser totalmente desligadas.
A equipe do Hospital Sírio-Libanês, em São Paulo, não tinha essa opção. “A Renault fechou as fábricas e mandou funcionários para casa. Nós não podemos fazer isso por causa dos pacientes”, diz Fernando Torelly, diretor executivo da instituição, que teve alguns de seus computadores infectados em uma das unidades do hospital. A saída foi isolar as máquinas infectadas e operar com apenas 40% dos computadores, além de seguir orientações da Microsoft para eliminar o risco para as 3,4 mil máquinas.
Após superar o transtorno, o Sírio-Libanês está usando o WannaCry como lição para reforçar seus sistemas de segurança. “Precisamos nos preparar”, explica Torelly. Agora, o hospital não contrata mais fornecedores de equipamentos que usam Windows XP. “A segurança da informação vai se tornar um elemento cada vez mais importante para a saúde”, diz Torelly. Já o INSS, por sua vez, trabalha na recuperação das máquinas infectadas: depois do susto há duas semanas, os equipamentos foram recolhidos, enviados a Brasília e estão sendo recuperados pela equipe de Fernandes. “É difícil fazer a gestão de máquinas em todo o Brasil, às vezes a gente não consegue manter tudo atualizado. Estamos cuidando disso agora.”
