No último final de semana, o Sistema Ferroviário Municipal de São Francisco (também chamado de MUNI) foi invadido e hackers pediram resgate de cerca de R$ 250 mil. A invasão fez com que o metrô não pudesse cobrar dos passageiros. Porém, a situação pode causar muito mais prejuízo para a agência de transporte público, de acordo com uma lista de servidores comprometidos que foi obtida pela Gizmodo.

• Hackers atacam sistema de transporte público em São Francisco e viagens saem de graça
• ImageGate: malware tem se espalhado por arquivos de imagens em redes sociais

A lista contém os nomes de 2.212 servidores que supostamente foram invadidos pelos hackers. Se todos eles realmente foram comprometidos, o valor do resgate pedido faz muito mais sentido. Os hackers afirmam que podem vazar 30 GB de dados internos do MUNI.

A lista contém servidores com nomes incompreensíveis como “BBYH382”, mas também possui outros como “PAYROLLHPDC7600” (que pode conter a folha de pagamentos), “MUNIMAIL1”, “MUNIMAIL2” (com emails da equipe) e o “QUICKBOOKS”, que provavelmente se refere ao software de contabilidade de usuários.

Se os hackers realmente puderam ver a folha de pagamentos, emails e servidores de contabilidade, isso significa que eles tiveram acesso a uma grande quantidade de informações pessoais.

muni-invasaoImagem: Reddit/Blorq.

No sábado, máquinas de autoatendimento dentro das estações de metrô exibiam a mensagem “Você foi hackeado, TODOS Dados Criptografados, Contato para a chave (cryptom27@yandex.com) ID:601″.

O gerente de TI e pesquisador amador de segurança Mike Grover procurou os hackers, que acharam que ele era um funcionário da MUNI que queria negociar um acordo.

Grover disse que recebeu essa mensagem dos invasores:

Se você é responsável pela MUNI !
Todos os seus computadores/servidores no domínio da MUNI-RAILWAY foram criptografados por AES 2048Bit!
Nós temos 2000 chaves de criptografia !
Envie 100 bitcoins para minha carteira e então nós enviaremos as chaves para todos os HDs dos seus servidores!!
Nós só aceitamos bitcoins, é muito fácil!
você pode usar agências para trocar o seu dinheiro por bitcoin o mais rápido possível

É a maneira rápida!

A lista de servidores supostamente comprometidos também inclui “GPOADMIN” e “gpoadmin2”. GPO significa “objeto de Diretiva de Grupo”, que basicamente é uma coletânea de configurações e diretrizes criadas e gerenciadas por administradores de servidores para máquinas numa rede.

A diretiva de grupo é, também, uma maneira comum de hackers espalharem ransomware. Se os invasores tiveram acesso a esses servidores, esta pode ter sido a maneira utilizada para espalhar o vírus.

O MUNI conseguiu recuperar alguns de seus sistemas no domingo de manhã e retomou a cobrança das tarifas. Isso irritou os hackers, que ameaçaram publicar 30 GB de dados em uma mensagem enviada para jornalistas:

População de São Francisco que viajou gratuitamente por dois dias! Bem-vinda!

Mas se um hacker feio ataca o sistema operacional ferroviário, o que acontece com você?

Qualquer um vê aquelas coisas nos filmes de Hollywood mas saibam que é completamente possível no mundo real!

É mostrado a você e está provado, as companhias não prestam atenção à sua segurança!

Eles pegam o seu dinheiro e todos os dias ficam mais ricos! Mas eles não pagam por segurança de TI e usam sistemas muito velhos!

Nós invadimos 2000 servidores/computadores da Agência de Transportes Municipais de São Francisco, incluindo todos os quiosques de pagamento, sistemas de automação interno e emails e …!

Nós conseguimos o acesso de forma completamente aleatória e nosso vírus funciona automaticamente! Nós não decidimos fazer um ataque voltado para eles! É maravilhoso !

Se algum hacker tentar invadir especificamente sua infraestrutura de transporte, isso terá mais impacto!

Nós não moramos nos EUA, mas espero que a companhia tente consertar o estrago corretamente e nós podemos alertá-los, mas se eles não o fizerem, iremos publicar 30 GB de bancos de dados e documentos que incluem contratos, informações de empregados, planos sobre os limites legais do território, dados sobre consumidores … para ter mais impacto sobre a empresa e para forçá-los a fazer o trabalho certo!

Hackers têm a tendência de mentir, e o comunicado parece ser um último esforço para extorquir alguns bitcoins do pessoal do MUNI, agora que os sistemas estão operando novamente. Mas se os hackers realmente possuem acesso aos servidores listados, as demandas de resgate são um pouco mais sérias.

A ideia de pagar aos hackers uma quantia em bitcoins não seria inédita. O Hollywood Presbyterian Medical Center fez isso neste ano, pagando US$ 17 mil para reaver o acesso aos seus arquivos. Um agente do FBI inclusive admitiu que a agência “geralmente [aconselha que] as pessoas apenas paguem o resgate”.

Essa invasão mais recente é bem preocupante, principalmente se levarmos em consideração que o alvo foi um sistema de transporte público. Mesmo que um hacker não consiga um acesso tão aprofundado (controlar ou prejudicar os trens), o poder de interferir em um sistema desses poderia ter consequências catastróficas numa área metropolitana. Esperamos que outras cidades prestem atenção a esses eventos.

Primeira foto por torbakhopper/Flickr