Fim de semana passado, usuários do metrô de São Francisco ficaram surpresos ao descobrir que não precisavam pagar por suas viagens. Todo mundo andou por aí de graça nos dois dias. Seria isso a realização dos ideais socialistas? Não, o trem municipal de São Francisco perdeu a capacidade de vender tickets porque foi atacado por um ransomware.
Alguns veículos da mídia alegam que o problema se manifestou muito antes, antes do dia de ação de graças, quando monitores da estação começaram a exibir a mensagem “Você hackeado” -como sempre, ransomwares não economizam nos erros gramaticais. Parece que o vírus chamado MAMBA, variação do HDDCryptor, atingiu mais de 2000 computadores pertencentes a Agência Municipal de Transportes de São Francisco (SFTMA).
O Mamba (e o HDDLocker, vamos considerá-los como um só) é um desses que criptografa o disco rígido por inteiro e altera o chamado Master Boot Record (MBR) para prevenir que computadores infectados carreguem seu sistema operacional, mostrando a mensagem dos criminosos no lugar.
Os criadores do Mamba usaram utilidades open-source como parte do Trojan, e isso, entre outras coisas, auxiliou a criação de um algoritmo poderoso. Dessa forma, não existe forma conhecida de recuperar arquivos criptografados pelo Mamba sem pagar os criminosos.
Os responsáveis pelo Mamba disseram à SFMTA que os contatassem no cryptom27@yandex.com. Por meio desse e-mail, um jornalista do San Francisco Examiner foi capaz de conversar com os criminosos que se apresentaram como Andy Saolis. Como na história de Saolis, o ataque ao metrô não foi direcionado; o sistema se infectou simplesmente porque alguém com acesso de administrador baixou um torrent infectado.
Quiz: Você sabe tudo sobre cibersegurança? Teste seus conhecimentos! | https://t.co/hB8GaGZQc7 pic.twitter.com/thsrNPmCI8
— Kaspersky Brasil (@Kasperskybrasil) November 23, 2016
Saolis também contou ao Examiner que a SFMTA tinha de pagar 100 bitcoins (por volta de 73000 dólares) para colocar seus computadores de volta nos trilhos. Mas parece que a agência foi capaz de lidar com o problema sem pagar o resgate. No domingo, as máquinas de bilhete estavam funcionando de novo.
Os pesquisadores anti-malware da Kaspersky Lab estão de olho nos criminosos responsáveis. Parece que o Mamba é tipicamente utilizado para atacar negócios e organizações: o ataque ao metrô não é o primeiro, e na verdade 100 bitcoins não é tanto assim para os padrões desses criminosos.
Dá para ver que o Mamba não é uma ameaça qualquer. O que você pode fazer para proteger a si mesmo e sua empresa?
1. A SFMTA foi capaz de colocar o metrô de volta em funcionamento e de maneira mais rápida já que tinha backups. Vale a pena mencionar que esses backups não estavam conectados à rede, pois nesse caso o Mamba também os teria criptografado.
A lição é: faça que nem a agência e tenha backups de seus dados atualizando-os com frequência. Mantenha os backups na nuvem ou em HD externo, não no seu computador ou em dispositivos conectados à rede.
2. Seja ainda mais esperto que a SFMTA e evite se infectar com o Mamba, ou qualquer outro ransomware. Para isso, use uma boa solução de segurança. O Kaspersky Internet Security detecta o Mamba (e o HDDCryptor, além de outros similares) como HEUR:Trojan.Win32.Generic e não deixa chance para que nenhuma criptografia seja feita.