Está claro que o NotPetya é um malware. Mas de qual modalidade: ransomware ou wiper ? É aí que as coisas só começam a se complicar.
O ataque do NotPetya no final de junho foi um malware ? Ransomware ? Um disk wiper ? A ofensiva devastou sistemas de rede em toda a Ucrânia e depois se espalhou para outros países, infectando e fechando escritórios de advocacia, supermercados, caixas eletrônicos e hospitais.
Dias após o ataque, pesquisadores de segurança ainda buscam descobrir o que é exatamente o NotPetya. No entanto, independentemente da análise técnica final, a grande questão continua: o NotPetya foi um ato de ciberguerra ?
Ransomware ? Wiper ? O que ?
Neste ponto, é claro que o NotPetya é um malware. Mas de qual modalidade: ransomware ou wiper ? É aí que as coisas só começam a se complicar.
O NotPetya não é exatamente um limpador de disco, mas certamente não é ransomware. Ok, isso realmente não ajuda a esclarecer as coisas, certo ? O problema é que o ataque não exclui dados com uma intenção clara da mesma forma que um wiper, como o Shamoon e KillDisk. Também não criptografa arquivos visando exigir um resgate que é o modus operanti de um ransomware normal.
Com efeito, o NotPetya bloqueia arquivos e joga a chave fora, para que as vítimas nunca mais recuperem seus sistemas. Desta forma, as informações criptografadas são basicamente inutilizadas, como ocorre num ataque wiper. Portanto, pode-se dizer que um sequestro de dados sem nenhuma chance de recuperar e decodificar os arquivos é equivalente a uma infecção por wiper.
Até agora, a maioria dos pesquisadores de segurança defendem a tese de que o NotPetya é um wiper, como Matt Suiche, fundador da Comae Technologies, publicando sua análise "Petya.2017 Is a Wiper Not a Ransomware"; e a Kaspersky Labs, que apresenta conclusões semelhantes no documento "ExPetr/Petya/NotPetya Is a Wiper, Not Ransomware".
Ainda assim, acho que NotPetya é provavelmente melhor descrito como um ataque híbrido. Ou, talvez, um ransom-wiper-ware !
Ciberataque dirigido contra a Ucrânia ?
Com a base de que não sabemos como classificar o ataque, mergulhemos em águas ainda mais obscuras. O NotPetya foi um ataque cibernético direcionado à Ucrânia ?
Nos últimos meses, vimos o CrashOverride derrubar a rede elétrica ucraniana seguido de quatro ataques sucessivos de malware disfarçados para parecer ocorrências de ransomware. Estes incluíram XData, PSCrypt, NotPetya e um tipo até agora sem nome, descoberto pelos pesquisadores de segurança da MalwareHunter, que foi projetado para parecer WannaCry, mas é algo completamente novo.
Este quarto ataque também parece ter usado um método de entrega semelhante aos XData e NotPetya para infectar os servidores de atualização de M.E.Doc, um pacote de software de contabilidade amplamente utilizado na Ucrânia. Apesar do fabricante ter negado veementemente, a Microsoft e a Talos entre outros, apontaram a empresa como fonte da distribuição desse malware.
De longe, NotPetya é o ataque mais destrutivo, com o vetor de entrega aparentemente direcionado para infectar vítimas empresariais e corporativas na Ucrânia. O problema de um malware como esse, é que uma vez lançado, pode se espalhar para outros sistemas, redes e países por conta própria.
Sem uma atribuição positiva, o crescente consenso é que responsável pelo ataque seria de um agente estatal ou designado pelo mesmo. Os principais pesquisadores de segurança sugeriram isso, incluindo o Centro Cooperativo de Excelência da Ciberdefesa da OTAN, que emitiu uma declaração em 30 de junho, confirmando:
“O NotPetya provavelmente foi lançado por um agente estatal ou não estatal com suporte ou aprovação de um estado. Outras opções são improváveis. A operação não era muito complexa, mas ainda é intrincada e cara o suficiente para ter sido preparada e executada por hackers não afiliados por causa da prática. Os cibercriminosos não estão por trás disso também, já que o método de coleta do resgate foi tão mal projetado que, provavelmente, nem mesmo cobriria o custo da operação “.
Isso nos leva de volta à pergunta inicial: Se o ataque provavelmente partiu de um agente de Estado (ou designado pelo mesmo) e provavelmente foi direcionado para a Ucrânia, e provavelmente deveria causar dano econômico generalizado e indiscriminado, seria o NotPetya um ato de ciberguerra ?
A razão pela qual é tão importante determinar a natureza desse ataque é o princípio de defesa coletiva da OTAN, que demanda mutua proteção e comprometimento entre os seus membros. Conforme definido no artigo 5 do tratado, esse princípio resume-se a: um ataque contra um aliado é considerado como um ataque contra todos. Portanto, um sim sólido com ampla evidência teria consequências políticas e militares terríveis.
Ato de guerra ?
Embora muitos indicadores digam que NotPetya era um disk wiper disfarçado de ransomware, bem como um ataque destinado a causar destruição generalizada na Ucrânia proveniente de um Estado ou designado pelo mesmo, sem uma definição técnica e atribuição claras e apenas evidências circunstanciais, podemos afirmar que foi uma ação de guerra ?
A OTAN diz: “provavelmente não”: “Se a operação pudesse ser vinculada a um conflito armado internacional em curso seria aplicável a lei do conflito armado, pelo menos na medida em que a lesão ou danos físicos fosse causada pela ocorrência e, em relação à possível participação direta nessa hostilidade por hackers civis. Porém, até agora, não há relatos de nada disso.
Falta um elemento coercivo claro em relação a qualquer governo nesse caso, e por isso a intervenção proibitiva não entra em jogo. A medida em que sistemas governamentais importantes foram alvejados pela ofensiva, então, caso a operação seja atribuída a um estado, poderia conter como uma violação da soberania. “- Tomáš Minárik, pesquisador da Centro Cooperativo de Excelência da Ciberdefesa da OTAN.
Verdade seja dita: a OTAN não fará um pronunciamento claro sobre quem exatamente está atrás disso tão breve. A quantidade atual de provas circunstanciais provavelmente não seria suficiente para deixar uma criança de oito anos de castigo por uma semana, muito menos ser suficientemente conclusivo para acusar um estado-nação específico de um crime internacional. Para chegar perto de declarar essa ocorrência como um ato de ciberguerra, há muitos detalhes que precisam ser investigados e comprovados e, até agora, estamos longe de conseguir isso.
Se não é um ato de guerra, o que é o NotPetya ?
A OTAN se arriscaria a dizer que o “[NotPetya] poderia ser um ato internacionalmente ilícito, o que poderia dar aos vários estados visados várias opções para responder com contramedidas”.
Se isso for verdade e a comunidade internacional conclui que o NotPetya é um “ato internacionalmente ilícito” de acordo com as leis internacionais, poderia dar origem a uma resposta conjunta da União Europeia sob a forma de sanções. O Conselho Europeu emitiu um comunicado de imprensa para este efeito, observando ainda:
“A resposta diplomática da UE a atividades cibernéticas maliciosas dará pleno uso das medidas previstas na Política Externa e de Segurança Comum, incluindo, se necessário, ações restritivas. Uma resposta conjunta da UE a atividades cibernéticas maliciosas seria proporcional ao escopo, escala, duração, intensidade, complexidade, sofisticação e impacto da atividade cibernética.
A UE reafirma o seu empenho na resolução de disputas internacionais no ciberespaço por meios pacíficos. Neste contexto, todos os esforços diplomáticos do bloco devem, como objetivo prioritário, promover a segurança e a estabilidade no ciberespaço por meio de uma maior cooperação internacional, bem como reduzir o risco de percepção errônea, escalada e conflito que possam surgir de incidentes de TIC.
No caso de não ser um ato de guerra cibernética e nem ” internacionalmente ilícito”, do que podemos chamar agora? Lauri Lindström, pesquisador da Centro Cooperativo de Excelência da Ciberdefesa da OTAN, diria, ao máximo, que era uma “declaração de poder” e que o fato seria apenas uma “demonstração da capacidade disruptiva adquirida e prontidão para usá-la”.
Declaração de poder ? O que isso significa ? A parte tecnológica foi fácil, mas qualquer coisa acima da Layer 7 também está além do meu pagamento e compreensão. O que eu acho que isso significa é que ninguém realmente sabe o que fazer quando se trata de “ciber-qualquer-coisa” e, até que eles façam, pisarão em ovos ao tentar descobrir.
Conclusão:
Infelizmente, enquanto tudo isso ocorre, os consumidores, cidadãos, empresas e governos continuarão em perigo, devendo considerar investir em segurança para poder detectar e responder rapidamente a todos os itens acima: Ataques cibernéticos, atos internacionalmente ilícitos e declarações de poder ! Todo cuidado será pouco.
Fonte deste artigo: IT Forum 365 , Comae Technologies
Gostou do artigo ? Comente, curta e compartilhe !
Tweetar
Nenhum comentário :
Postar um comentário
Por favor, evite palavras de baixo calão, ou qualquer tipo de ofensas. Seja construtivo ao comentar !