Pesquisador interrompe, por acaso, propagação de ciberataque

Um pesquisador na área de segurança da informação disse à BBC como ele acidentalmente interrompeu a contaminação de centenas de organizações no Reino Unido e ao redor do mundo na sexta-feira.

Foi uma aparente campanha de ransomware - em que computadores são infectados com um vírus que codifica e "sequestra" os arquivos. Os invasores, então, pedem um "resgate": ameaçam destruir (ou tornar públicos) os arquivos caso não recebam dinheiro, segundo reportagem publicada pela BBC Brasil. Conhecido pelo apelido com que opera online, MalwareTech, o pesquisador estava analisado o código que fazia funcionar o vírus responsável pelo ataque. O pesquisador percebeu que o programa tentava contactar um endereço de internet incomum (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), que não estava registrado. MalwareTech, então, gastou o equivalente a R$ 35 reais para "comprar" endereço. Com isso ele, conseguiria analisar o comportamente do vírus. Porém, ele depois ele percebeu que a operação de registro interrompeu o processo do programa de se propagar. "Foi algo acidental. Passei a noite inteira investigando".

O que aconteceu?

Originalmente, especulou-se que quem está por trás do vírus teria incluído um "botão de autodestruição". Mas Malware acredita que se tratava de um mecanismo para saber se o programa estava sendo monitorado por pesquisadores da área de segurança da informação no que se chama de "máquina virtual" - uma espécie de ambiente de quarentena para vírus. Um computador real não poderia acessar iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, mas uma "máquina virtual" conseguiria. "Isso fez com que o programa parasse para evitar análises externas", disse MalwareTech. "Quando registrei o site, isso fez com que todas as 'infecções' ao redor do mundo se desativassem por acreditar que estavam em uma máquina virtual. Sem querer, impedimos a proliferação do vírus".

O vírus foi derrotado?

Isso não significa que a ameaça foi afastada: arquivos "danificados" pelo víruis ainda podem ser usados para chantagear seus donos. E analistas de segurança alertam que novas variações do programa que ignorem o "botão" vão aparecer. "Conseguimos parar uma versão, mas não seremos capazes de parar a próximas. Há muito dinheiro envolvido (no cybercrime) e não é preciso muito esforço para eles (os programadores) muderam o código e começarem tudo de novo".