Um grupo de hackers está tentando reviver o WannaCry, o vírus responsável por um dos maiores ataques de ransomware da história. De acordo com a Wired, o servidor do site que “desliga” o WannaCry está sofrendo ataques DDoS. O intuito destes ataques é tirar o servidor do ar, o que permitiria que o malware voltasse a se propagar com a mesma rapidez de antes.
Dez dias atrás, uma onda de ciberataques que usavam o malware WannaCry para infectar máquinas começou a se espalhar pelo mundo. O avanço das infecções foi interrompido, ao menos em parte, pelos esforços (e pela sorte) de Marcus Hutchins, um cidadão britânico especializado em cibersegurança.
Hutchins estava pesquisando sobre o ataque quando se deparou com um domínio com nome estranho. Por curiosidade, ele registrou o domínio e, logo em seguida, percebeu que a velocidade de disseminação do WannaCry reduziu consideravalmente. Mais tarde, ele entendeu que aquele domínio funcionava como uma espécie de “botão liga/desliga” do malware: ao infectar uma nova máquina, o arquivo nocivo enviava uma solicitação áquele domínio e, se recebesse resposta, parava de funcionar.
Ligando o vírus de novo
No entanto, Hutchins começou a perceber que o servidor que hospeda aquele domínio começou a receber ataques DDoS praticamente todo dia desde que o domínio foi registrado. O intuito dos ataques é sobrecarregar o servidor, fazendo com que ele saia do ar. Se isso acontecer, o malware pode começar novamente a se espalhar.
Para realizar esses ataques, os invasores estão utilizando uma ferramenta já bem testada: a botnet Mirai, que foi responsável por tirar do ar boa parte da internet dos Estados Unidos num ataque a um servidor DNS no ano passado.
Segundo Hutchins, os ataques variam de intensidade: o primeiro, logo após o registro do domínio, foi “praticamente só uma cutucadinha da botnet”; na última quarta-feira, porém, ele sofreu seu pior ataque até agora, com 20 gigabits por segundo de tráfego, como mostra o gráfico abaixo. Esse volume é 20 vezes maior que a média dos ataques DDoS, segundo pesquisa da Arbor Networks.
Today’s Sinkhole DDoS Attack pic.twitter.com/wxT2YUrdOF
— MalwareTech (@MalwareTechBlog) May 18, 2017
Deixando o vírus desligado
O pesquisador de segurança acredita que conseguirá manter o site funcionando. Desde que o domínio foi registrado, Hutchins e a Kryptos Logic, a empres apara a qual ele trabalha, contrataram uma empresa especializada em mitigação de ataques DDoS (que ele preferiu não identificar para não torná-la alvo dos hackers) para ajudar a manter o servidor no ar.
A origem dos ataques ainda não é conhecida, mas Hutchins acredita que eles não estejam sendo feitos pela mesma pessoa que iniciou o mega-ciberataque do WannaCry. Ele acredita que esses atacantes são hackers pouco hábeis que estão usando o Mirai só para se divertir. “Os desenvolvedores originais estavam fazendo aquilo por dinheiro. Essas pessoas estão fazendo isso só pelo prazer de machucar os outros, o que eu acho que é ainda pior”, disse.