Na última semana, a cidade de Atlanta, nos Estados Unidos, teve parte dos computadores afetados por um potente ransomware que pedia US$ 51 mil em bitcoin como resgate das máquinas. O vírus fez com que alguns serviços da cidade tivessem que ser realizados com papel e caneta, e representantes da prefeitura dizem que vai demorar um tempo até os sistemas da cidade serem reconstruídos.
Atlanta foi alvo de um ransomware conhecido por ser mais sofisticado do que ameaças comuns. Ele é chamado de “SamSam” e foi identificado em 2015. Com abordagens diferentes de outros vírus, ele já rendeu possivelmente milhões de dólares para hackers que fazem ataques usando ele. Abaixo explicamos quais são as características que fazem dele uma grande ameaça para a internet mundial.
Conceito diferente
Pouco se sabe sobre a origem do SamSam. Especialistas de segurança especulam que ele pode ter sido criado por uma só pessoa, ou ser obra de uma rede de hackers. Mas ele é diferente de muitos outros vírus do tipo, e costuma ter alvos bastante parecidos.
A maioria dos ransomwares fazem ataques de phishing para conseguir infectar máquinas. Isso exige que uma pessoa rode um programa malicioso em um PC sem saber que está fazendo isso – como clicando em links suspeitos que chegam por email, por exemplo.
O SamSam invade computadores de outra forma. ELe explora vulnerabilidades ou tenta descobrir uma senha fácil que seja usada em um sistema, para a partir daí ganhar controle de uma rede.
Os hackers também costumam adaptar ataques feitos com ele dependendo da resposta da vítima, em uma tentativa de permanecer o maior tempo possível dentro da rede.
Ataques planejados
O SamSam não é usado para qualquer tipo de ataque. Suas vítimas costumam ser prefeituras, hospitais, universidades e serviços de controle industrial. Há um motivo para esses serem os alvos preferidos dos hackers: são instituições que tendem a pagar o valor pedido para não ficar muito tempo sem acesso aos sistemas.
À Wired, Jake Williams, da empresa de segurança Rendition Infosec explicou como os hackers costumam agir ao usar o vírus. “Assim que entram em uma rede, eles movem lateralmente, usando o tempo para se posicionar antes de começar a criptografar máquinas. Idealmente organizações detectam eles antes de começar a criptografia, mas esse não foi o caso”, disse, se referindo ao episódio de Atlanta.
Evitar um ataque que usa o ransomware pode não ser muito difícil, mas com muitas instituições com orçamento restrito para TI e que usam sistemas com vulnerabilidades de segurança, é fácil imaginar que o SamSam vai continuar afetando sistemas pelo mundo por algum tempo.