Autoridades da cidade de Atlanta, na Georgia, ainda estão tentando se recuperar 11 dias depois de um ataque ransomware em sistemas de computadores municipais que atingiu pelo menos cinco de 13 departamentos. Muitos dos serviços da cidade foram derrubados e outros estão funcionando a base do papel.

• Estudo revela crescimento de 2500% no mercado de ransomwares
• Por que cibercriminosos estão espalhando ofertas falsas de emprego

De acordo com a Reuters, já passou uma semana desde que o ransomware SamSam começou a se espalhar nos computadores da cidade, com a exigência de pagamento de resgate de US$ 51.000 (cerca de R$ 170.000 na cotação atual). O valor não foi pago em nenhum momento.

Embora a recuperação tenha começado já na semana passada, vários computadores continuam bloqueados. Três membros da câmara municipal da cidade dividiram um único laptop durante o final de semana enquanto tentavam reconstruir alguns registros. De acordo com o parlamentar Howard Shook “a situação é extraordinariamente frustrante”.

Diversas autoridades locais encontraram arquivos corrompidos, com tags como “weapologize” (pedimos desculpas) e “imsorry” (sinto muito) adicionados aos títulos dos documentos. Embora o ransomware não tenha conseguido corromper tudo – apenas oito dos 18 computadores do escritório de auditores foram afetados, por exemplo – parece que muitas das informações não possa ser recuperada:

“Tudo no meu HD foi embora”, disse a oficial de contas Amanda Noble.

As autoridades municipais não revelaram até que ponto os servidores de backup de informações foram corrompidos ou que tipo de informação eles acham que são irrecuperáveis caso não paguem o resgate.

[…]

A polícia de Atlanta voltou a tomar notas por escrito e perdeu acesso a alguns bancos de dados de investigação, disse o porta-voz do departamento, Carlos Campos, à Reuters. Ele não quis discutir os conteúdos dos arquivos afetados.

O ransomware SamSam é particularmente avançado e “se infiltra ao explorar vulnerabilidades ou adivinhando senhas fracas de sistemas de seu público-alvo”, então ele utiliza ferramentas como Mimikatz, que recupera senhas, para obter controle do restante da rede, conforme explica a Wired.

Isso significa que os atacantes não precisam se valer de engenharia social ou enganar usuários para que rodem um malware. O SamSam pode ser espalhado facilmente via “protocolos de desktops remotos, servidores web baseados em Java, servidores FTP e outros componentes de redes públicas”.

A cidade estava começando a implementar algumas das recomendações recebidas após uma auditoria de cibersegurança realizada em janeiro que descobriu que “um grande número de vulnerabilidades severas e críticas identificadas existiam há tanto tempo que as organizações responsáveis basicamente se tornaram complacentes e não tomavam mais ações”.

A auditoria disse que “departamentos encarregados a lidar com milhares de vulnerabilidades não terá tempo ou ferramentas suficientes para analisar e tratar adequadamente os sistemas”, levando a um “nível significativo de exposição a riscos evitáveis para a cidade”.

“Um ransomware é burro”, disse à Wired Dave Chronister, fundador da Parameter Security. “Até mesmo versões mais sofisticadas como essa dependem de automação para funcionar. O ransomware depende de alguém não implementar princípios básicos de segurança […] Não quero ser duro, mas olhando para isso, a estratégia de segurança deles deve ser muito ruim”.

O FBI e o Departamento de Segurança Interna dos Estados Unidos (DHS) estão ajudando a cidade de Atlanta, mas não está claro até que ponto eles podem auxiliá-los. O FBI “desencoraja vítimas de ransomware a pagar ao resgate”, porém o ex-funcionário da DHS, Mark Weatherford, disse que esta pode ser uma das poucas opções restantes para a cidade evitar tanta dor de cabeça.

De qualquer maneira, os ataques de ransomware estão crescendo rapidamente, e uma das razões pelas quais o FBI desencoraja o pagamento do resgate é que esta ação pode encorajar os invasores a atacarem mais sistemas vulneráveis. De acordo com a NPR, o FBI recebeu 2.673 relatos de tais ataques em 2016 e mais de 3.000 no ano passado.

[Reuters]

Imagem do topo: AP