A Janus Cybercrime Solutions, autora do Petya – ransomware atribuído inicialmente aos ciberataques globais desta terça-feira (27) –, ressurgiu no Twitter na última quarta-feira, aparentemente oferecendo ajuda para as pessoas que perderam seus arquivos.
• Ataques de ransomware estão começando a instaurar a era do caos na cibersegurança
• Como a CIA consegue rastrear usuários do Windows medindo sinal de Wi-Fi
O gesto altruísta, mesmo que se prove inútil, não é característica de criminosos que lançaram uma iniciativa infernal ao colocar poderosas brechas nas mãos de outras pessoas para que elas testassem como bem entendessem. Seria simples indicar que a Janus iria preferir não ser ligada à disseminação do “NotPetya” – nome dado pela Kaspersky Lab, que inclusive teve dificuldade em diferenciar entre o ransomware da Janus e aquele que instaurou o caos pela Europa nessa semana.
Existe um consenso agora entre os especialistas de que o NotPetya é na verdade um “deletador” – um malware projetado para realizar danos permanentes – e não um ransonware como o Petya, que dá às vítimas a opção de recuperar seus dados por um preço.
As primeiras análises sobre isso foram anunciadas na terça-feira pelo pesquisador de segurança the grugq, que escreveu: “A semelhança com o Petya é apenas superficial. Embora exista um compartilhamento significativo de códigos, o verdadeiro Petya era uma iniciativa criminosa para ganhar dinheiro. Este definitivamente não foi projetado para ganhar dinheiro. Ele foi projetado para se espalhar rápido e causar danos, com uma máscara plausível de ‘ransomware'”.
Em um tweet no final da quarta-feira, o rosto público da Janus apareceu após sete meses de silêncio, sugerindo que os arquivos bloqueados pelo NotPetya talvez pudessem ser recuperados utilizando uma chave privada da Janus. Até o momento dessa publicação, eles não deram mais detalhes.
we’re back havin a look in “notpetya” maybe it’s crackable with our privkey #petya @hasherezade sadly missed ;)
— JANUS (@JanusSecretary) June 28, 2017
Ransomware como um serviço
No começo de 2016, a Janus lançou um site na darknet em um modelo de negócios do mercado negro chamado Ransonware como um serviço (RaaS, na sigla em inglês). Basicamente, eles ofereciam a outros criminosos o acesso a plataformas sofisticadas de distribuição de ransomware. Seus consumidores, após pagar uma taxa nominal de registro, poderiam utilizar a plataforma, e, em troca, a Janus recebia uma parte de todos os resgates pagos pelas vítimas. Os consumidores rastreavam as taxas de infecção por uma simples interface web, o que também permitia que eles ajustassem os valores solicitados pelo resgate. A Janus, que se apresentou como uma “organização cibercriminosa profissional”, oferecia até suporte técnico, cuidando de relatos de bugs e atendendo pedidos de novas características em sua plataforma.
O modelo de receitas foi pensado especificamente para beneficiar consumidores que conseguiam mais pagamentos de resgate. Aqueles que coletavam menos do que cinco bitcoins em resgates por semana, por exemplo, recebiam apenas 25% do valor, enquanto aqueles que ganhavam mais do que 125 bitcoins recebiam uma parcela de 85%.
No passado, negociantes de RaaS limitavam em sua maioria o acesso comercial a ransomware que exploravam vulnerabilidades bem conhecidas e que já estavam amplamente corrigidas. A Janus, no entanto, não fazia parte dessa época. O grupo é único nesse modelo, e seu produto, muito sofisticado e, até agora, continua muito efetivo.
O Petya, o malware que não estava por trás dos ataques de terça-feira – apesar das reportagens que se alastraram na mídia na hora – era responsável por metade da grana que a Janus conseguia.
Ao contrário da maioria dos ransomware, que deixa os sistemas operacionais intactos enquanto criptografa arquivos individuais, o Petya criptografa porções inteiras do disco rígido da vítima. Ele, na verdade, substitui o Registro mestre de inicialização (MBR, na sigla em inglês), bloqueando o sistema operacional do usuário.
O MFT (Master File Table), a principal estrutura do sistema NTFS, então é criptografado deixando o computador incapaz de localizar quaisquer arquivos da vítima. O usuário tem então um código único que pode ser introduzido em um website de descriptografia para enviar o pagamento. As instruções são sempre oferecidas em termos claros e concisos – quanto mais complexo for o processo, menos pagamentos serão recebidos.
Uma vez que o Petya é baixado – no passado, ele era distribuído por emails com a ajuda de um spambot – o usuário é induzido a dar o controle da conta ao malware. Se o usuário clicar “Sim”, o Petya inicia, e o processo mencionado acima começa. Se o usuário clica “Não”, um malware de backup, conhecido como Mischa, executa. Esse malware é umas das variantes típicas e criptografa arquivos individuais antes de mostrar à vítima as instruções de pagamento dentro do sistema operacional.
Se a vítima foi infectada pelo Mischa e realiza o pagamento, é dada uma senha para descriptografar os arquivos. Se for infectada pelo Petya, a senha descriptografa o Master File Table, e então o Registro mestre de inicialização é consertado. De qualquer maneira, pagar o resgate resulta na recuperação completa do acesso dos arquivos, sem um dano permanente.
Ransomware disfarçado
Por outro lado, o que motivou o ator malicioso por trás do ataque do NotPetya não foi dinheiro. A análise de grugq foi confirmada pela Kaspersky Lab na quarta-feira, pelos analistas Anton Ivanov e Orkhan Mamedov, que escreveram que as vítimas do NotPetya não conseguiam recuperar seus arquivos, mesmo que o resgate fosse pago.
A análise de grugq também foi confirmada algumas horas antes pelo hacker Matthieu Suiche, fundador da Comaelo Technologies.
Essas avaliações indicam que o NotPetya é um “deletador” projetado especificamente para destruir dados – e não gerar lucros. “Acreditamos que o ransomware era, na verdade, uma isca para controlar a narrativa da mídia, especialmente depois dos incidentes com o WannaCry, para atrair atenção para algum grupo hacker misterioso em vez de um ataque realizado por um estado nacional como o que já vimos acontecendo em casos passados envolvendo wipers, como o Shamoon”, escreveu Suiche.
Em outras palavras, sua avaliação é que o NotPetya é trabalho de hackers de governos que utilizaram “ransomware” como um disfarce para conduzir um ciberataque sofisticado com o propósito de realizar o máximo de dano. Suiche escreve que, na sua opinião, o propósito desse truque era “controlar a narrativa do ataque”, o que significa que os hackers por trás de tudo isso queriam enganar a imprensa.
Sobre o possível responsável, a atribuição, como sempre, permanece problemática. Parece, no entanto, que o paciente zero tenha sido o software de uma empresa ucraniana, o MeDoc – embora a empresa tenha refutado essa alegação em um post no Facebook nesta terça-feira.
De acordo com diversos especialistas, o ataque começou depois que o MeDoc teve uma brecha atacada, e então o NotPetya foi levado para os consumidores por meio de uma atualização de software. Ataques desse tipo, projetados para danificar a reputação de uma empresa ao causar prejuízos em seus clientes, são conhecidos como um “ataque na cadeia de distribuição“.
Alguns apontaram o dedo para a Rússia, que tem intervindo militarmente na Ucrânia desde 2014, apontando que as infecções do NotPetya no setor de petróleo da Rússia foram todos atenuados com uma facilidade suspeita. “É um milagre!”, declarou grugq (de forma sarcástica) em sua publicação na terça-feira.
Já que a mídia foi enganada e acabou ajudando a cobrir os rastros desses responsáveis – pelo menos por um tempo –, a questão agora é se os repórteres de segurança vão aprender a defender a si mesmos (e seus leitores) de nações-estados que utilizam essa forma única da manipulação.
De qualquer maneira, é fácil ver por que a organização criminosa Janus não quis aumentar sua reputação ao assumir os créditos desse ataque. Essa ciberguerra não faz bem para os negócios.
Image: Janus Cybercrime Solutions