Parece que os ataques de ransomware em grande escala viraram tendência global. Em maio tivemos o WannaCry, que fez vítimas no Brasil e no mundo todo, e hoje, pouco mais de um mês depois, o mundo está outra vez vendo seus arquivos sendo criptografados contra a sua vontade e sem poder fazer muita coisa.
Leia também: Há uma nova geração de ransomwares sequestrando discos rígidos no Brasil
Videos by VICE
Por enquanto, é difícil mensurar o alcance e o estrago real deste ataque. Os primeiros relatos de infecção começaram a ser publicados às nove horas da manhã no horário de Brasília. As vítimas eram companhias localizado no leste Europeu em países como Ucrânia e Rússia. Rapidamente começaram aparecer relatos do ransomware em computadores no restante da Europa, atingindo Espanha, França e Dinamarca. No Brasi, diversas empresas estão recomendando que seus funcionários não liguem seus computadores.
De forma semelhante ao ataque de grande escala realizado com o WannaCry, o caso de hoje também faz uso do exploit do EternalBlue, que teve o vazamento atribuído ao grupo The Shadow Brokers. Ao menos duas companhias de segurança confirmaram esta informação por meio de suas contas no Twitter, a Avira e a Symantec.
O EternalBlue faz uso do protocolo SMB (Server Message Block), que é utilizado pelo Windows para diversas finalidades que vão desde comunicação com impressoras até o controle remoto de serviços do sistema. O WannaCry adotou esta vulnerabilidade para se propagar. Usou a versão 1 do protocolo e a transmitiu por meio da porta TCP utilizada pelos serviços da Microsoft, de número 445.
O ransomware verificado nos ataques de hoje é uma variação do Petya, que teve seus primeiros registros no primeiro semestre de 2016. Diferentemente de outras famílias mais comuns de ransomware, que miram arquivos específicos dentro do sistema, seu alvo é o Registro Mestre de Inicialização (Master Boot Record), que vincula a localização a seu index de inicialização, além de conter informações sobre a partição e outras coisas fundamentais do sistema.
Leia também: Seu PC fica assim quando infectado pelo WannaCry
Ou seja, caso você sofra a infecção de um ransomware desta família, muito provavelmente você não vai conseguir fazer muita coisa com o computador. Esta forma de ataque é bastante semelhante à verificada no Mamba, ransomware descoberto por brasileiros no ano passado.
Leia também: Estamos próximos de viver o Ransomware das Coisas?
Apesar de ainda não ser possível mensurar o tamanho do estrago, é possível acompanhar a arrecadação dos atacantes com este golpe. Desta vez, o valor cobrado é de US$ 300. Até o momento foram realizadas 20 transações para uma das carteiras de bitcoins vinculadas ao ataque, totalizando um valor de mais de US$ 5000 (2.14 BTC). No caso do WannaCry, o valor arrecadado por uma das principais carteiras foi de US$ 40 mil (17.51 BTC).