De acordo com a agência de notícias Reuters, os dados serão analisados por uma força-tarefa montada na capital, dando aos vírus de resgate uma prioridade semelhante a ataques terroristas. A força-tarefa foi anunciada em abril.
Essa abordagem tem justificas técnicas, considerando a interrupção no fornecimento de combustível e alimentos causada pelos ataques. Mas, na prática, o combate a essas pragas digitais ganhou também um componente político.
O governo dos Estados Unidos já confirmou que o presidente Joe Biden deve tratar da questão pessoalmente no próximo encontro com o presidente russo Vladimir Putin.
Joe Biden e Vladimir Putin, na época vice-presidente dos EUA e primeiro-ministro da Rússia, em foto de 10 de março de 2011, em Moscou — Foto: RIA Novosti, Alexei Druzhinin/Pool via AP, file
Embora os Estados Unidos já tenham acusado a Rússia de operar grupos de espionagem – inclusive apontando o país como responsável pela invasão à SolarWinds –, o caso dos vírus de resgate é diferente.
Ainda que não sejam patrocinados ou apoiados pelo governo de Moscou, quase não há notícia de ações locais contra esses criminosos.
As autoridades anunciaram uma prisão em novembro de 2020, quando um hacker de 20 anos foi preso especificamente por atacar sistemas na Rússia e faturar US$ 55 mil (cerca de R$ 280 mil).
Mas os próprios criadores dos vírus muitas vezes evitam que suas criações mirem sistemas russos, e as autoridades parecem fazer vista grossa aos crimes cometidos fora do país.
O ransomware DarkSide, que atacou a Colonial Pipeline, é um exemplo. Ele é programado para ignorar sistemas configurados com alguns teclados específicos, em especial aqueles utilizados em países da antiga União Soviética.
Segundo informações da consultoria de segurança digital Cybereason, máquinas com teclados da Rússia, Ucrânia, Armênia ou Bielorrússia recebem um “passe livre” do vírus.
É nesse contexto que se insere a fala da secretária de imprensa dos EUA, Jen Psaki: “Estados responsáveis não abrigam criminosos de ransomware”.
Mesmo assim, só uma análise aprofundada poderá afirmar quais sistemas realmente são evitados pelos hackers, pois a programação dos vírus muitas vezes tem outras finalidades.
De acordo com Ryan Olson, vice-presidente para inteligência de ameaças da Palo Alto Networks, a detecção de teclado é muito abrangente e não deve ser um fator decisivo para filtrar os alvos dos ataques.
Olson não comenta a questão da Rússia – ele diz que a origem das pragas digitais é assunto para as autoridades –, mas explica que os autores dos vírus estão cientes do risco quando realizam um ataque.
“Quando um operador de ransomware executa seu código de criptografia em um alvo, ele já deve saber se atacar aquela organização vai ou não chamar a atenção de sua autoridade local“, afirma o especialista.
É possível recuperar arquivos sequestrados por vírus de resgate?
Segundo ele, o que mais aparece na programação dos vírus são medidas para evitar o trabalho de analistas.
Um dos mecanismos observados confere a lista de arquivos abertos recentemente no Word: se ela for pequena, o vírus entende que pode estar sob análise em um sistema de testes e não prossegue com seu funcionamento normal.
Serviços financeiros na mira das autoridades
Segundo a Reuters, a nova diretriz do governo pretende concentrar em Washington informações sobre casos que envolvam serviços para burlar antivírus, lojas ou fóruns on-line de atividades ilícitas, plataformas de compra e venda de criptomoedas, hospedagem “à prova de bala”, redes zumbis e serviços de lavagem de dinheiro.
Muitas dessas atividades funcionam como auxiliares do crime. Isso dificulta a punição dos responsáveis, que podem alegar desconhecimento da prática criminosa.
Os serviços de burla de antivírus são usados por criminosos para blindar uma praga digital contra os antivírus disponíveis no mercado, por exemplo. Já a hospedagem “à prova de bala” ignora denúncias para mantar no ar um arquivo ou conteúdo malicioso.
Hackers muitas vezes contratam empresas legítimas para alugar sistemas, mas essa infraestrutura criminosa pode ser derrubada ou até monitorada pelas autoridades após uma denúncia. Quando o serviço é “à prova de bala”, a empresa permite que o sistema do hacker continue no ar.
Contudo, a lista de prioridades dos Estados Unidos indica que o governo está interessado em monitorar a atividade de compra e venda de criptomoedas – o principal meio de pagamento usado pelos vírus de resgate.
O Departamento de Justiça não conseguiu a custódia do russo Alexander Vinnik , preso na Grécia por estar envolvido com a BTC-e, que intermediava a compra e a venda de criptomoedas para criminosos.
A Rússia tentou intervir no caso de Vinnik, pedindo sua extradição por fraudes de 9,5 mil euros em seu país de origem. Os EUA, por sua vez, o indiciaram por lavagem de dinheiro na ordem de US$ 9 bilhões.
Mas essa não é a única ofensiva do governo dos Estados Unidos contra as criptomoedas e serviços financeiros usados por criminosos.
Em outubro de 2020, o Departamento do Tesouro advertiu que a intermediação de pagamentos de resgate poderia violar sanções comerciais e aplicou uma multa de US$ 60 milhões contra um serviço que dificultava o rastreamento de transferências.
Mais recentemente, estão circulando rumores de que os Estados Unidos pretendem elaborar tributar o Bitcoin e estariam investigando a Binance, a maior plataforma de compra e venda de criptomoedas do mundo em volume.
Na sexta-feira (3), o Departamento de Justiça revelou a prisão e indiciamento de Alla Witte, uma mulher de 55 anos da Letônia. A ação foi atribuída “Força-tarefa de Ransomware e Extorsão Digital”, e acusa Witte de envolvimento no Trickbot, um vírus conhecido por instalar vírus de resgate nos computadores contaminados.
Hackers teriam dito que alvo era o Brasil
Os operadores do vírus de resgate REvil, que seriam responsáveis pelo ataque à JBS, concederam uma entrevista ao “Russian OSINT”, um grupo de Telegram da Rússia conhecido por veicular esse tipo de conteúdo.
Na entrevista – cuja autenticidade é incerta –, os criminosos alegam que evitavam alvos nos Estados Unidos, que a invasão à JBS ocorreu por acaso e que o verdadeiro alvo era uma entidade brasileira.
O nome dessa entidade não foi revelado, mas, como a JBS é brasileira, pode ser que os hackers não esperavam atingir fábricas da empresa em outros países.
Desafiando a nova diretriz do governo norte-americano, os hackers prometeram condições especiais para os “parceiros” que quisessem conduzir alguma atividade no país.
Assim como outros vírus de resgate, o REvil é um “ransomware as a service” (“ransomware como serviço”), em que os criadores do código dividem os ganhos da fraude com “afiliados” encarregados de invadir e contaminar as redes das empresas.
Segundo dados da Palo Alto Networks, os Estados Unidos já constavam na lista dos países mais atacados pelo REvil em 2020, junto com Austrália, Canadá, Finlândia e Hong Kong – ou seja, o vírus já atuava em redes norte-americanas.
Na semana passada, a japonesa Fujifilm também anunciou que desconectou parte de sua rede de computadores para responder a um ataque de vírus de resgate. De acordo com o site “Bleeping Computer”, o ataque começou com um vírus chamado QBot, também vinculado à gangue do REvil.
O REvil faz parte de uma nova “onda” de vírus de resgate que cobram cifras elevadas de empresas para recuperar os arquivos perdidos. A Palo Alto calcula que o pagamento médio de resgate em 2020 foi de US$ 508.523 (cerca de R$ 2,6 milhões, na cotação atual).
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Veja dicas para se manter seguro on-line
Fonte: G1