0
0
Nas últimas semanas, os militares dos EUA montaram uma operação para interromper temporariamente o que é descrito como a maior botnet do mundo — uma usada também para abandonar o ransomware, que as autoridades dizem ser uma das principais ameaças para a eleição de 2020.
A campanha do Comando Cibernético dos EUA contra a botnet Trickbot, um exército de pelo menos 1 milhão de computadores sequestrados executados por criminosos de língua russa, não deve desmantelar permanentemente a rede, disseram quatro funcionários dos EUA, que falaram sob a condição de anonimato devido à sensibilidade do assunto. Mas é uma maneira de distraí-los pelo menos por um tempo enquanto eles procuram restaurar as operações.
O esforço faz parte do que o General Paul Nakasone, chefe do Comando Cibernético, chama de “engajamento persistente”, ou a imposição de custos cumulativos a um adversário, mantendo-os constantemente engajados. E essa é uma característica fundamental das atividades da CyberCom para ajudar a proteger a eleição contra ameaças estrangeiras, disseram autoridades.
“Neste momento, minha prioridade é uma eleição segura, segura e legítima para 2020”, disse Nakasone em agosto, em um conjunto de respostas por escrito às perguntas do Washington Post. “O Departamento de Defesa e o Comando Cibernético especificamente estão apoiando uma abordagem ‘inteira de governo’ mais ampla para garantir nossas eleições.”
Trickbot é um malware que pode roubar dados financeiros e lançar outros softwares maliciosos em sistemas infectados. Os criminosos cibernéticos o usaram para instalar ransomware, uma forma particularmente desagradável de malware que criptografa os dados dos usuários e para o qual os criminosos então exigem pagamento — geralmente em criptomoedas — para desbloquear.
Brian Krebs, que escreve o blog KrebsonSecurity,relatou pela primeira vez sobre a existência da operação. O papel do Cyber Command não foi relatado anteriormente. O comando se recusou a comentar.
Funcionários do Departamento de Segurança Interna temem que um ataque de ransomware a escritórios de registro de eleitores estaduais ou locais e sistemas relacionados possa interromper os preparativos para 3 de novembro ou causar confusão ou longas filas no dia da eleição. Eles também observam que o ransomware é uma grande ameaça além das eleições.
Trickbot foi usado no mês passado em um ataque prejudicial contra um grande provedor de saúde, a Universal Health Services, cujos sistemas foram bloqueados pelo ransomware conhecido como Ryuk. O ataque forçou o pessoal a recorrer a sistemas manuais e registros de papel, de acordo com relatos. A UHS administra mais de 400 instalações nos Estados Unidos e na Grã-Bretanha. Alguns pacientes teriam sido redirecionados para outras salas de emergência e tiveram atrasos na obtenção de resultados de exames.
Uma mulher na Alemanha morreu no mês passado quando o hospital que ela foi para atendimento de emergência a afastou porque havia sofrido um ataque de ransomware; ela morreu a caminho de outra instalação. Não está claro se Trickbot estava envolvido nesse caso — disse representar a primeira morte ligada ao ransomware.
No último ano, a botnet tem sido usada para fornecer ransomware para municípios nos Estados Unidos, bem como fornecedores de software que atendem essas cidades, dizem os pesquisadores.
Em 22 de setembro, pesquisadores de ameaças cibernéticas que monitoram a rede Trickbot notaram a interrupção dos servidores de comando e controle. Eles não sabiam quem estava por trás da interrupção, mas viram que alguém havia invadido os servidores e enviado atualizações para todos os computadores infectados — inclusive nos Estados Unidos — que efetivamente cortaram a comunicação entre os computadores vitimados e os servidores.
Mas no dia seguinte, os criminosos mostraram sinais de restauração das operações, de acordo com Mark Arena, CEO da Intel 471, uma empresa de inteligência de ameaças com sede nos EUA.
Em 1º de outubro, outra interrupção semelhante ocorreu, disse Arena. Os operadores ficaram irritados – alguns deles digitaram mensagens uns aos outros em letras maiúsculas, expressando frustração, disse Alex Holden, diretor de segurança da informação e presidente da Hold Security, com sede em Milwaukee, que também monitorou a atividade.
Mas, novamente, os criminosos se recuperaram.
“Isso foi um soco no intestino para os bandidos, mas não um golpe de nocaute'”, disse Holden. “Foi visto como inconveniente, mas a maior parte da atividade foi retomada dentro de dois a três dias.”
A única maneira de “você ser completamente bem sucedido contra criminosos cibernéticos é trancá-los na cadeia”, disse Arena.
Ainda assim, a ação da CyberCom é digna, disseram autoridades dos EUA.
“Em um momento em que o ransomware está comendo o mundo, esta é uma operação contra um dos maiores e mais ativos fluxos de ameaças”, disse um funcionário. “Isso é permanente? Claro que não. Mas qualquer esforço para degradar a botnet deve ser aplaudido, disse o funcionário.
FONTE: THE WASHINGTON POST