Surfista que salvou mundo do WannaCry espera mais ataques

O jovem de 23 anos que salvou o mundo de um ciberataque devastador em maio estava em casa dormindo, na cidade de Ilfracombe, litoral da Inglaterra, na semana passada, após uma noite de balada, quando outra campanha de extorsão on-line se espalhou pelo mundo.

Por volta das 18 horas de 27 de junho, Marcus Hutchins, pesquisador autodidata de segurança informática e surfista ávido, foi acordado pelo telefonema de um colega que lhe avisava de outro ataque em andamento.

Temendo um retorno do virulento malware WannaCry que ele deteve no mês anterior, Hutchins ligou o computador na casa que divide com os pais e o irmão mais novo para checar os últimos acontecimentos.

Até então, mais de 80 bancos ucranianos, órgãos do governo e empresas multinacionais, incluindo a gigante da navegação A.P. Moller-Maersk e a maior petroleira russa, a Rosneft, haviam sido atingidos por um ataque de ransomware que se espalhou como uma praga eletrônica por suas redes.

Em 20 minutos, Hutchins contou depois, ele conseguiu uma amostra do malware e ficou aliviado por ver que não se tratava de outro WannaCry, o vírus que infectou centenas de milhares de computadores em mais de 150 países. Era algo mais direcionado e menos virulento.

Embora ambos os ataques tenham aproveitado falhas no sistema operacional Windows, da Microsoft, para espalhar sua carga, o WannaCry usou a internet para se propagar -- cada computador comprometido escanearia e infectaria outro, criando um efeito de bola de neve --, enquanto o chamado Petya ficou confinado a redes locais.

O Petya pareceu maior a princípio porque os hackers atacaram a empresa de software ucraniana M.E.Doc e usaram um recurso de atualização automática para baixar seu malware nos computadores de todos os usuários do software, disse Hutchins.

Bastões de queijo

Hutchins deveria desfrutar de uma semana de férias, mas ao voltar para casa após almoçar hambúrgueres e bastões de queijo com um amigo e ver a carnificina que o WannaCry estava provocando, ele não conseguiu resistir e entrou na briga.

Depois de analisar uma amostra do malware e ver sua propagação explorando vulnerabilidades nos protocolos de compartilhamento de arquivos de rede da Microsoft, ele percebeu que o atacante usava uma arma cibernética que teria sido roubada da Agência de Segurança Nacional dos EUA, a NSA.

Conhecida como “EternalBlue”, ela fazia parte de um grupo de sofisticadas ferramentas hacker da NSA que atacam o software da Microsoft obtido pela gangue criminosa Shadow Brokers no ano passado e vazado pela internet em abril.

Hutchins também notou uma peculiaridade escondida no código de malware. O mecanismo testava a existência de um domínio de internet absurdo e não registrado.

Ele rapidamente registrou o domínio por 8,5 libras (US$ 11) e redirecionou todo o tráfego para um servidor projetado para capturar dados maliciosos, conhecido como sumidouro, o que lhe permitiria monitorar o avanço do ataque.

“No momento, pensamos ‘bom, conseguimos monitorar tudo agora’, não sabíamos que havíamos parado o ataque”, disse Hutchins. “No minuto em que registramos o domínio, estávamos vendo tipo 5.000 ou 6.000 sistemas únicos se conectando, e o número subiu para 200.000 em uma hora. Eu lembro que pensei: caramba, isto é realmente grande.”

“Ele tem um talento natural”, disse Salim Neino, 33, CEO da Kryptos, empresa que contratou Hutchins depois de ler seu blog. “Ele estava obviamente resolvendo problemas difíceis e não o fazia pela recompensa monetária, e essas são algumas das características fundamentais dos grandes guerreiros cibernéticos.”

Neino garante que Hutchins merece ser chamado de herói e adverte que todos deveriam se preparar para mais ataques.

“Vamos ver uma onda desses ataques se o Shadow Brokers cumprir a promessa de liberar mais vírus”, disse Neino. “Eles cumpriram cada uma das ameaças anteriores, por isso não há razão para pensar que não o farão de novo.”