Antes da Rússia invadir a Ucrânia, os ataques cibernéticos já estavam em andamento. Não surpreendentemente, os sistemas Windows eram um alvo comum
A Rússia telegrafou suas intenções de invadir a Ucrânia bem antes do ataque, reunindo quase 200.000 soldados ao longo das fronteiras da Ucrânia e pelas ameaças cada vez mais beligerantes de Vladimir Putin. Nos bastidores, a Rússia estava fazendo mais do que isso, incluindo perigosos ataques cibernéticos lançados contra a Ucrânia. E como normalmente acontece nesses ataques, o Windows foi o vetor de ataque.
“Observamos malware destrutivo em sistemas pertencentes a várias agências e organizações governamentais ucranianas que trabalham em estreita colaboração com o governo ucraniano”, escreveu Tom Burt, Vice-Presidente Corporativo da Microsoft para segurança e confiança do cliente, em um post no blog em meados de janeiro. “O malware está disfarçado de ransomware, mas, se ativado pelo invasor, tornaria o sistema do computador infectado inoperante”. Em um post técnico relacionado, detalhando como o malware funciona, a Microsoft acrescentou: “Esses sistemas [sob ataque cibernético] abrangem várias organizações governamentais, sem fins lucrativos e de tecnologia da informação, todas sediadas na Ucrânia”.
Notavelmente, o dinheiro não foi o objeto dos ataques. Em vez disso, os invasores queriam destruir sistemas e dados. E eles conseguiram. O malware atacou sistemas baseados em Windows, substituindo Master Boot Records (MBR) por uma nota de resgate. A Microsoft explica: “O MBR é a parte de um disco rígido que informa ao computador como carregar seu sistema operacional”.
Após a infecção, “o malware é executado quando o dispositivo associado é desligado”, disse a Microsoft. “Substituir o MBR é atípico para ransomware cibercriminoso. Na realidade, a nota de ransomware é um estratagema e o malware destrói o MBR e o conteúdo dos arquivos que ele visa”. (O malware também ataca os arquivos de outras maneiras.)
Os ataques, em essência, foram o primeiro ato de guerra contra a Ucrânia. Eles provavelmente prenunciam mais por vir agora que a guerra total começou. Pouco antes da invasão da Rússia, outro – possivelmente mais perigoso – ciberataque contra a Ucrânia surgiu, de acordo com o CIODive; Esse ataque usa dispositivos de firewall WatchGuard para espalhar malware. John Hultquist, da Mandiant Threat Intelligence, disse ao CIODive: “À luz da crise na Ucrânia, estamos muito preocupados com esse ator, que superou todos os outros que rastreamos em termos de ataques cibernéticos agressivos e operações de informação que conduziram. Nenhum outro ator de ameaças russo foi tão descarado e bem-sucedido em interromper a infraestrutura crítica na Ucrânia e em outros lugares”.
A mesma postagem também alerta sobre um novo malware direcionado a máquinas Windows na Ucrânia: HermeticWiper, cujo único objetivo é destruir dados (também visando seu MBR). Há razões para acreditar que mais está chegando. “As autoridades dos Estados Unidos alertam há meses sobre os possíveis danos colaterais de uma incursão militar russa na Ucrânia”, informou o CIODive. A nova atividade cibernética pode ricochetear por meio de empresas multinacionais, cadeias de suprimentos e instalações-chave de infraestrutura, como transporte, energia e saúde”.
De maneira semelhante, o CybersecurityDive explicou como os ataques cibernéticos podem se espalhar e se agravar rapidamente. “À medida que a pressão internacional cresce sobre o conflito da Rússia com a Ucrânia, as principais empresas dos EUA – particularmente aquelas que operam infraestrutura crítica – estão na mira de um impasse militar de um Estado-Nação que pode facilmente se espalhar para o terreno cibernético. A Rússia, em grande parte isolada pelos Estados Unidos e pelos principais aliados da OTAN, demonstrou a vontade e a capacidade de alavancar um sofisticado arsenal de capacidades cibernéticas de seu braço de inteligência militar e uma série de representantes do submundo criminoso do país”.
Autoridades do governo dos EUA acreditam que o país também será alvo. No início deste mês, a ABC News citou uma nota do Departamento de Segurança Interna dos EUA que advertia: “Avaliamos que a Rússia consideraria iniciar um ataque cibernético contra a Pátria se percebesse que uma resposta dos EUA ou da OTAN a uma possível invasão russa da Ucrânia ameaçasse sua segurança nacional em longo prazo”.
Dada a aparente paranóia de Putin, há poucas dúvidas de que ele acredita que as respostas dos EUA e da OTAN à invasão – incluindo sanções e outras formas de dor econômica – ameaçarão a segurança nacional a longo prazo da Rússia. Portanto, podemos esperar que os ataques comecem a qualquer momento.
O que isso significa para os negócios? Bastante. Com os ataques cibernéticos russos contra os Estados Unidos, mesmo que sua empresa não opere infraestrutura crítica ou tenha algo a ver com finanças ou segurança, ela estará na mira. Quando ataques de grande alcance são lançados, eles ganham vida própria e visam qualquer negócio que puderem.
Se as empresas ainda não adotaram medidas de segurança reforçadas, elas já estão atrasadas. É hora de fortalecer suas defesas externas. Corrija todos os sistemas que podem ser corrigidos. Verifique os boletins de segurança da Microsoft. Ensine sua equipe a reconhecer ataques transmitidos por e-mail e dispositivos móveis.
E reconheça que isso é apenas o começo. Esta guerra é apenas a primeira em que os ataques cibernéticos acompanharão os danos do mundo real. Dada a propensão da humanidade para a guerra, mais guerras se seguirão. E o Windows, devido ao seu uso generalizado, continuará sendo um alvo importante.
