A consultoria de segurança digital SentinelOne publicou um relatório que detalha ataques cibernéticos de um grupo de hackers que a companhia chama de “Agrius”.
O texto revela que esses hackers disfarçaram ataques destrutivos cobrando resgates falsos das vítimas.
Ataques com vírus de resgate são relativamente comuns e realizados por diversas quadrilhas de criminosos, que normalmente buscam faturar com os valores cobrados.
O relatório aponta que hackers com outros interesses – como sabotagem e espionagem – poderiam realizar a cobrança como subterfúgio para a vítima não desconfiar que se trata de uma atividade diferente.
De acordo com a SentinelOne, o “Agrius” teria origem iraniana e estaria atacando alvos em Israel desde dezembro de 2020.
O grupo também já atuou na Arábia Saudita em 2019, mas os novos ataques foram realizados com ferramentas aprimoradas.
Os especialistas de segurança da empresa encontraram elementos na lógica de programação que fazem alusão a um comando para destruir os sistemas – uma ação chamada de “wipe”.
Tecnicamente, não precisa haver diferença entre um vírus “wiper” e um ransomware (“vírus de resgate”). Um vírus de resgate comum utiliza criptografia para embaralhar os dados de um sistema, o que já é uma atividade destrutiva.
Mas o que caracteriza um ransomware é a cobrança de um resgate para reverter o estrago.
Se os hackers não tiverem um interesse legítimo em cobrar um resgate, o ato passa a ser puramente destrutivo.
Além de sabotar as empresas e entidades atacadas, a destruição também ajuda a apagar evidências das ações dos hackers dentro da rede, ocultando as técnicas de ataque e registros da atividade que poderiam revelar o que os invasores estavam buscando.
É possível recuperar arquivos sequestrados por vírus de resgate?
Segundo a SentinelOne, os indícios encontrados corroboram a hipótese de que o objetivo desses hackers não é cobrar o resgate, e sim destruir os sistemas das empresas atacadas.
Brasil também foi alvo de ‘nova onda’ de vírus destrutivos
Um dos primeiros vírus (senão o primeiro) a utilizar o manto de um vírus de resgate para destruir sistemas foi o “NotPetya”, que atacou sistemas na Ucrânia e outros países da Europa em 2017.
A praga digital foi inicialmente confundida com o “Petya”, um vírus de resgate que estava em circulação à época. Por causa disso, especialistas decidiram chamar a praga de “NotPetya” (“não é o Petya”).
Posteriormente, a fabricante de antivírus Kaspersky descobriu que o vírus apresentava dados aleatórios na mensagem de cobrança de resgate e que o código de criptografia do vírus não era capaz de salvar qualquer referência da chave que embaralhava os dados. Na prática, era um processo irreversível.
Embora o NotPetya tenha sido vinculado à Rússia, muitos ataques destrutivos foram atribuídos ao Irã. Há pelo menos outros dois grupos de hackers supostamente radicados no país que usam esse tipo de código malicioso.
Em 2019, o governo dos Estados Unidos publicou um alerta sobre essa atividade, atribuindo os ataques a indivíduos vinculados ou patrocinados pelo regime iraniano.
No final de 2020, sistemas no Brasil também teriam sido atacados por um desses grupos iranianos, o Fox Kitten, em uma operação chamada Pay2Key. A empresa que alertou para esse caso foi a ClearSky.
Agindo como um ransomware, esses códigos poderiam ser ignorados pelas vítimas, que veriam o ataque cibernético como apenas mais um caso de vírus de resgate – e não como uma atividade de sabotagem e espionagem mais sofisticada.
O próprio Irã, contudo, já foi alvo de vírus altamente destrutivos. Uma das usinas de enriquecimento de urânio do país, em Natanz, foi o palco do vírus Stuxnet, que manipulou sistemas de controle industrial para tentar danificar turbinas em uso no complexo.
Diversas fontes citadas pela imprensa – inclusive em jornais como o “The New York Times” – apontam que Stuxnet foi produzido por agentes de inteligência dos Estados Unidos e Israel.
Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]
Veja dicas para se manter seguro on-line
Fonte: G1
