Onda de ciberataques imprevisíveis afetam telecoms, centros de saúde e outros…
Uma onda periódica de ataques usando malwares pode colocar infraestruturas essenciais, organizações governamentais e instituições de saúde em risco nos próximos meses. A sequência de golpes estaria ligada a um grupo chamado CozyBear, também conhecido como APT29, que já apareceu nas manchetes devido a comprometimentos de grande gravidade no passado.
No momento, entretanto, os olhos se voltam para a evolução de uma praga chamada WellMess, cujos detalhes foram divulgados nesta quarta-feira (22) pela Kaspersky. A empresa de segurança da informação chama a atenção para os padrões que vêm sendo identificados pelo menos desde julho de 2018, com ocorrências registradas em países da Europa, Oriente Médio e Ásia, além dos Estados Unidos.
“Hackers normalmente não têm padrões bem definidos, mas, neste caso, a regularidade chamou a nossa atenção”, explicou Brian Bartholomew, pesquisador de segurança global da Kaspersky. De acordo com os dados do especialista, as campanhas usando o WellMess acontecem ao longo de poucos dias ou semanas, sendo completamente desligadas até ressurgirem com novos alvos, com intervalos de dois a três meses entre cada registro desse tipo.
Justamente por isso o time de especialistas chama a atenção para a próxima possível onda de golpes, que deve ser realizada em agosto. De acordo com Bartholomew, os golpes ligados ao CozyBear não ocorrem mais desde meados de maio deste ano, indicando que os hackers podem estar em uma nova fase de preparação para ataques. Segundo ele, a praga em si não evoluiu tanto ao longo dos últimos dois anos, mas os alvos variam bastante, o que torna difícil prever exatamente quem pode ser atingido da próxima vez.
Os casos já registrados, por exemplo, variam entre empresas do ramo de telecomunicações, companhias contratadas por governos internacionais de forma terceirizada ou players dos setores de defesa ou aeroespacial. A ideia de que organizações de saúde envolvidas na pesquisa de vacinas e tratamentos contra o coronavírus, porém, surgiu a partir de um outro relatório, divulgado na última semana pelo Centro de Nacional de Cibersegurança do Reino Unido (NCSC, na sigla em inglês).
Em alerta, as autoridades pediram atenção especial aos centros de saúde e associou a onda de ataques do CozyBear ao governo da Rússia. Essa concepção também tem a ver com atos anteriores do mesmo grupo, ambos com motivações políticas: o ataque ao comitê do partido democrata dos Estados Unidos, em 2016, que levou ao vazamento de e-mails da campanha de Hillary Clinton, e golpes contra o governo da Noruega, realizados em 2017. Os especialistas da Kaspersky, entretanto, demonstram cautela na reprodução de tais alegações.
“As afirmações [do NCSC] são ousadas, mas não acompanham detalhes sobre como se chegou a essa conclusão”, explica Bartholomew. Além disso, ele cita dados da própria pesquisa que não indicam uma associação à Rússia, e sim a hackers operando em solo chinês, já que IPs relacionados a servidores de controle estariam localizados no país ou, pelo menos, sendo redirecionados por lá.
Mesmo sem ideia sobre a origem ou os responsáveis por esses ataques, Bartholomew e o time de pesquisadores da Kaspersky estão confiantes de que eles irão acontecer e, acima de tudo, serão imprevisíveis. De acordo com o especialista, o fato de toda a infraestrutura ser desativada ao fim de cada campanha dificulta detecções e previsões, bem como a inclusão das características do golpe para bloqueios por softwares de segurança.
Ainda assim, aponta ele, a ideia é que administradores de TI permaneçam vigilantes, principalmente aqueles envolvidos nos setores citados, que seriam de maior interesse para os criminosos. Além disso, por mais que relatórios como o publicado pelo governo do Reino Unido não tragam evidências diretas, provavelmente por questões de segurança nacional, eles não devem ser ignorados. “Com a pandemia, instituições de saúde se tornaram um alvo preferencial para obtenção de dados e patentes”, completa. Segundo ele, não é possível afirmar que o setor será a próxima vítima, mas essa possibilidade existe, e todos deveriam estar preparados para ela.