Quando ocorreu o ataque do WannaCry, tive interesse em iniciar uma investigação para saber a sua origem e como o ataque foi desenvolvido. O que encontrei foi que a exploração usada remonta os vazamentos de informações de um grupo hacker que aconteceram no ano passado e neste ano. Foram cinco vazamentos realizados por hackers e em um deles, conhecido como "Lost in Translation", continha informações sobre aproximadamente 37 ferramentas/vulnerabilidades e uma dessas era a Eternal Blue, a vulnerabilidade que foi explorada pelo WannaCry.
Algumas das ferramentas divulgadas nesses vazamentos chamam a atenção pelo grande poder bélico que têm, com níveis de exploração bem diferentes do que estamos acostumados a ver no mercado. São realmente "armas cibernéticas".
Além disso, em março deste ano, o WikiLeaks vazou cerca de 8700 documentos e dentro desses arquivos existem informações sobre novos malwares que impactam diretamente smartphones, smart TVs e sistemas operacionais. Esses malwares são diferentes do que costumamos ver, eles trazem um formato de framework, é algo muito mais elaborado e que inclui toda uma metodologia desenvolvida para orquestrar um ataque. Esses documentos disponibilizam informações de como conduzir um ataque desde o implante, a logística para que o malware infecte uma máquina, a fase de desenvolvimento do malware com a distribuição de novos executáveis dentro da máquina e a manipulação de outras vulnerabilidades, e por fim uma espécie de central de comando para orquestrar todo o ataque com sucesso.
Atualmente também ouvimos rumores de que este mesmo grupo que vazou as informações criou uma espécie de "clube de assinaturas", chamado wine of the month club. Na deep web, esses criminosos vendem as informações e os interessados em praticar o cibercrime podem assinar um serviço e receber periodicamente kits com dados sensíveis de bancos e empresas, vulnerabilidades de roteadores, smartphones e sistemas operacionais recentes, com informações detalhadas de como usá-los. Não se sabe se este clube está realmente funcionando, mas a possibilidade é bastante assustadora.
Que existe um comércio de malwares no submundo da internet não é nenhuma novidade, mas este comércio até pouco tempo apenas vendia malwares. Agora vemos ameaças muito mais elaboradas, muito mais avançadas e muito bem documentadas, até mesmo com manual de uso. O conhecimento do crime organizado está subindo, técnicas avançadas de exploração, ocultação e manipulação de malware pouco conhecidas agora estão disponíveis para criminosos usarem em seu próprio beneficio.
O que podemos prever é que com tantas vulnerabilidades e ferramentas publicadas, é óbvio que irão acontecer novos ataques, e eles podem ter um poder destrutivo muito maior do que qualquer outro ataque já visto.
Os ataques WannaCry e Petya foram uma amostra do que pode ser feito com esse tanto de informação disponível. Muitas ideias novas ainda podem surgir, essas 37 vulnerabilidades vazadas em conjunto com esses frameworks nos colocam em um marco na história da cibersegurança global. Existe muito armamento disponível e muito conhecimento sobre como manipular este armamento.
Estamos em uma situação militar, um alerta vermelho. A qualquer momento podem acontecer novos ataques avançados e as empresas precisam estar preparadas. Para se preparar para a guerra não basta se munir de novas armas, é preciso também estratégia.
O futuro pode ser muito ruim e ele depende do que for feito a partir de agora. Não existe bala de prata e nem mágica para esta situação. O que as empresas precisam fazer é começar a construir suas defesas de forma eficiente. As que já têm uma estrutura de defesa precisam construir um plano de defesa, testar as ferramentas, fazer exercícios, entender bem qual é a postura de segurança e conhecer a sua real capacidade de reação.
Jeferson Propheta, diretor de serviços de segurança da McAfee para a América Latina.