A Ucrânia foi o epicentro, na terça-feira, de um ciberataque de proporções ainda desconhecidas, uma vez que ainda está por apurar a verdadeira origem do ransomware (sequestro de sistemas informáticos a troco de dinheiro). Rapidamente o vírus se alastrou a outros países, atacando sistemas informáticos de algumas das maiores multinacionais.

De continente para continente, de país para país e de computador em computador, o vírus causou estragos desde a Índia aos Estados Unidos, afectando até a Austrália. Na Ucrânia, o software malicioso infectou silenciosamente computadores quando utilizadores realizavam tarefas simples como fazer downloads de ficheiros através de um software de contabilidade fiscal ou até mesmo a navegar num site de notícias local, disseram ciber-especialistas internacionais à Reuters.

Numa primeira avaliação, o Governo ucraniano avançava que a acção teria sido perpetrada com recurso a uma versão modificada do WannaCry – vírus usado no ciberataque de Maio –, software malicioso que se espalha por e-mail e encripta muitos tipos de ficheiros, fazendo com que os utilizadores deixem de ter acesso à informação. 

Contudo, a avaliação que se seguiu feita pela empresa russa de segurança informática Kaspersky concluiu que o vírus não é uma nova versão do WannaCry, nem do Petya (como indicava a agência governamental suíça de tecnologias da informação MELANI). Os analistas da Kaspersky baptizam o vírus de NotPetya (não é o Petya).

Um dia depois do ataque, os especialistas continuam a investigar a origem do vírus ao mesmo tempo que tentam impedir a sua propagação. Pelo menos 2000 entidades terão sido atingidas pelo ataque global de ransomware – um número substancialmente menor do que o balanço final de vítimas do ataque WannaCry de Maio (mais de 200.000 infecções).

Muitas das empresas afectadas continuam a lutar contra as consequências do software malicioso que deixou negócios a meio gás. Empresas como a holandesa TNT, a multinacional dinamarquesa de logística Maersk, a britânica de publicidade WPP – que afectou as suas filiais Mindshare e MEC, em Portugal –, a fabricante de aviões ucraniana Antonov, a empresa de alimentação Mondelez, a companhia francesa de materiais de construção Saint-Gobain e a filial norte-americana do gigante farmacêutico germânico Merck são apenas algumas das atingidas pelo ciberataque.

A gigante Maersk disse estar a tentar despachar ordens e transferir cargas em alguns dos seus 76 portos espalhados pelo mundo, processos a cargo da subsidiária APM Terminals. À Reuters, a empresa de logística FedEx Corp. disse que a sua divisão ligada à empresa holandesa TNT tinha sido significativamente afectada pelo vírus, o que afectou portos da empresa na América do Sul.

Numa mensagem mostrada nos computadores afectados, os atacantes exigiam um pagamento de 300 dólares (275 euros) por computador, feito na divisa digital bitcoin. Caso o pagamento não fosse efectuado, a mensagem ameaçava apagar todos os ficheiros.

A Reuters avança que mais de 30 vítimas do ataque pagaram o montante pedido, mas os especialistas em cibersegurança duvidam que a extorsão seja o objectivo de quem perpetra estes ataques, visto que o valor exigido não era elevado. Os hackers pediam aos lesados do ataque que os notificassem por e-mail assim que o pagamento de bitcoins fosse realizado – um e-mail do fornecedor alemão Posteo – para lhes serem enviadas as chaves que permitiam desbloquear os ficheiros encriptados. Neste sentido, a empresa alemã terá bloqueado de imediato o endereço de e-mail.

Apesar de não estar afastada a possibilidade de se tratar de um ataque de natureza criminosa com origem num país terceiro, a Ucrânia é apontada actualmente como o "campo de experiências" russo para uma ciberguerra global.

O Presidente ucraniano, Petro Poroshenko, em Dezembro de 2016, disse que nos dois meses anteriores tinham sido registados 6500 ciberataques a 32 alvos ucranianos. O Presidente culpou a Rússia nessa altura, indicando que a investigação feita apontava para "um envolvimento directo ou indirecto dos serviços secretos russos", no que qualificou com uma ciberguerra desencadeada contra a Ucrânia, desde que os russos anexaram a Crimeia, em 2014.

Esta quarta-feira, o Kremlin rejeitou as acusações, de que também foi alvo pelo ataque de terça-feira, e disse não ter qualquer informação sobre a origem do ciberataque, que também afectou a Rússia (como as empresas Evraz e Rosneft). “Ninguém consegue combater efectivamente os ciberataques por conta própria e, infelizmente, as acusações generalistas e infundadas não vão resolver esse problema”, afirmou Dmity Peskov, porta-voz do Kremlin, citado pela Reuters.

A empresa Kaspersky, nas análises constantes durante o dia de terça-feira, indicava o maior número de ataques na Ucrânia, seguida da Rússia e depois Polónia.

O propósito do recente ataque parece ter sido mais causar interrupções do que pedir resgates, disse Brian Lord, ex-vice-director de operações cibernéticas do Centro de Comunicações do Governo britânico (GCHQ, na sigla em inglês) e actual director da empresa de segurança particular PGI Cyber. "A meu ver isto começa a parecer um estado que opera através de um proxy...como uma espécie de experiência para ver o que acontece", disse Lord à Reuters.

Enquanto o malware parecia ser uma variante de ataques passados, derivados do código conhecido como Eternal Blue – desenvolvido pela Agência Nacional de Segurança dos EUA (NSA) –, os especialistas disseram que não era tão poderoso quanto o ataque WannaCry de Maio.

Após o WannaCry, governos, empresas de segurança e grupos industriais aconselharam empresas e consumidores a garantir que todos os seus computadores fossem actualizados com as novas versões de segurança da Microsoft.

As empresas de segurança, incluindo a Microsoft, a Cisco e a Symantec, disseram que confirmam algumas das infecções iniciais ocorreram quando o malware foi transmitido aos utilizadores de um programa de software tributário ucraniano chamado M.E.Doc. O fornecedor do software M.E.Doc negou, numa publicação no Facebook, que o seu software tinha sido o culpado, embora a Microsoft tenha reiterado suas suspeitas depois.

"A Microsoft tem agora provas de que algumas infecções activas do ransomware começaram a partir do legítimo processo de actualização do M.E.Doc", afirmou numa publicação no seu blogue, citada pela Reuters.