Como funciona o ataque?

O software malicioso (chamado WannaCry, WannaCrypt ou uma variante deste nome) espalha-se por email (quando um anexo é aberto) e propaga-se também de um computador infectado para outros computadores aos quais este esteja ligado. Afecta computadores com o sistema operativo Windows, da Microsoft.

Uma vez instalado nos computadores, o software encripta muitos tipos de ficheiros, fazendo com que os utilizadores deixem de ter acesso à informação. Entre os ficheiros afectados estão documentos do Word, Excel e Powerpoint, bem como tipos de imagem comuns (com extensões como gif, jpg e png), ficheiros de som e de vídeo.

Numa mensagem mostrada nos computadores afectados, os atacantes exigem um pagamento de 300 dólares por computador (275 euros), feito na divisa digital bitcoin. Se o pagamento não for feito em três dias, o montante pedido duplica. A mensagem ameaça apagar os ficheiros ao fim de sete dias. É por exigir um resgate (ransom, em inglês) que este tipo de software se chama ransomware.

Qual a dimensão do ataque?

É difícil saber com precisão e o software ainda poderá vir a infectar mais computadores que ainda não tenham sido protegidos. A Europol (o serviço europeu de polícia) estimava este domingo que tinham sido afectados 200 mil computadores numa centena de países. Na sexta-feira, a estimativa era de 75 mil computadores – o que mostra que o ataque se continuou a disseminar já depois de o alerta ter sido lançado.

Algumas grandes empresas surgiram nas notícias como tendo sido vítimas do ataque, mas haverá uma miríade de outras que podem ter sido afectadas e cuja situação nunca será tornada pública – desde aquelas que, por questões de reputação, não querem revelar terem sido vítimas, até às muitas pequenas empresas que estão fora do radar dos media.

Quem foi afectado?

Entidades de topo o o tipo. Um dos casos mais críticos aconteceu no Reino Unido, onde vários hospitais viram os computadores serem infectados. O episódio levou a que alguns serviços deixassem de funcionar e a que doentes tivessem de ser transferidos. Em declarações à BBC, o ministro da Defesa britânico disse que o Serviço Nacional de Saúde tinha sido avisado no passado da possibilidade de ciberataques e que recebera milhões de libras para melhorar os sistemas informáticos. Muitos computadores ainda usam o Windows XP, uma versão antiga do Windows, para a qual a Microsoft já não oferece suporte.

Em Portugal, o Serviço Nacional de Saúde não registou incidentes, mas, preventivamente, deixou de aceitar emails vindos de entidades externas. Já a PT admitiu ter sido atacada, embora garantindo que não foram postos em causa os serviços aos clientes. Várias outras empresas optaram por tomar medidas preventivas, como desligar os computadores ou cortar o acesso à Internet. A Polícia Judiciária disse ao PÚBLICO:  “Não podemos dizer se são dezenas ou centenas, são essencialmente operadores de comunicação”.

Entre outras entidades afectadas estão a operadora espanhola Telefónica, a Renault (algumas fábricas em França tiveram de suspender a produção), a distribuídora FedEx, nos EUA, e o Ministério da Administração Interna da Rússia.

Quem são os atacantes?

Não são conhecidos. As autoridades estão a investigar.

Quanto dinheiro já foi pago em “resgates”?

Em geral, as empresas de segurança informática estão a aconselhar a que o pagamento não seja feito. Em parte, porque não é certo que permita reaver o acesso aos ficheiros; mas também porque incentivaria este género de ataques.

Foi criada uma conta no Twitter que monitoriza os pagamentos feitos aos atacantes em bitcoins (o sistema das bitcoins ajuda ao anonimato, mas todas as transacções entre as várias “carteiras” são vistas por qualquer pessoa que esteja na rede, mesmo que não sejam conhecidos os donos dessas “carteiras”). Às 19h desta segunda-feira, tinham sido pagos cerca de 55,5 mil dólares (50,5 mil euros), um montante relativamente baixo dado o número de computadores infectados.

O que fez o “herói acidental” que abrandou a propagação do ataque?

A imprensa tem referido um “herói acidental”, que ajudou a abrandar a disseminação do WannaCry, sobretudo nos EUA. Trata-se de um profissional de segurança informática, que não quer ser identificado e que (muito embora o próprio descreva a situação como tendo tido alguma sorte à mistura) começou na sexta-feira a analisar e a tentar travar o WannaCry.

Este profissional descobriu que o software continha uma referência a um domínio (ou seja, um endereço de Internet, como google.com; neste caso, muito mais longo: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Como o domínio não existia, decidiu registá-lo (custou menos de onze dólares), algo que diz ser um procedimento habitual neste tipo de casos. O objectivo era para perceber o que acontecia se o software se conseguisse ligar ao endereço. Mais tarde percebeu que o software fora programado para parar a execução caso conseguisse estabelecer uma ligação àquele domínio.

Inicialmente, isto foi descrito como uma forma de os atacantes pararem o ataque se quisessem (bastava-lhes para isso registar e ter activo o domínio). No entanto, o profissional de segurança informática explica que provavelmente se tratava de uma forma de tentar dificultar a análise do software por terceiros.

O caso, contudo, não se fica por aqui: já há variantes do software a circular que foram modificadas para não pararem a execução por causa daquele domínio.

A Microsoft pode fazer alguma coisa?

Já fez. A 14 de Março, a empresa tinha lançado uma actualização do Windows, classificada como crítica, e que visa corrigir a falha – chamada EternalBlue – que permite a proliferação do WannaCry. No entanto, nem todos os utilizadores actualizam os respectivos computadores.

Na sexta-feira, na sequência do ataque, a Microsoft decidiu, numa medida de excepção, disponibilizar uma actualização para sistemas para os quais já praticamente não dá suporte, como é o caso dos Windows XP e Windows Server 2003.

Qual é a relação entre o ataque e a NSA dos EUA?

O WannCry usa uma ferramenta que faz parte do que ficou conhecido como o ciber-arsenal da Agência Nacional de Segurança (NSA). Algumas destas ferramentas foram roubadas àquela agência por um grupo de hackers que se intitula The Shadow Brokers e que, depois de não as ter conseguido vender, as disponibilizou gratuitamente.