A Microsoft interrompeu uma grande operação de hackers que, segundo ela, poderia ter afetado indiretamente a infraestrutura das eleições se continuasse no ar.
Na segunda-feira (12), a empresa disse que derrubou os servidores por trás do Trickbot, uma enorme rede de malware usada por criminosos para lançar ataques cibernéticos, incluindo um tipo muito potente de ransomware (ataque que sequestra dados de usuários).
A Microsoft disse que obteve uma decisão judicial de um tribunal federal para desativar os endereços IP associados aos servidores do Trickbot e trabalhou com provedores de telecomunicações em todo o mundo para eliminar a rede de hackers.
A ação coincide com uma ofensiva do US Cyber Command para interromper os cibercriminosos, pelo menos temporariamente, segundo revelou o jornal The Washington Post.
A Microsoft reconheceu que os invasores provavelmente se adaptarão e tentarão reativar suas operações em algum momento. Mas, de acordo com a empresa, seus esforços refletem uma “nova abordagem jurídica” que pode ajudar as autoridades a combater a rede no futuro.
Segundo a Microsoft, o Trickbot permitia que os hackers terceirizassem seus serviços para outros hackers, e assim eles podiam injetar malwares em computadores, roteadores e outros dispositivos vulneráveis.
O pacote incluía ransomwares, que a Microsoft e funcionários dos EUA advertiram que podem representar um risco para sites que exibem informações eleitorais ou para fornecedores de software terceirizados que prestam serviços a autoridades que trabalham nas eleições.
“Rivais podem usar um ransomware para infectar um sistema de computador usado para manter cadernos eleitorais ou relatar os resultados da noite da eleição, apreendendo esses sistemas em uma hora pré-determinada para, assim, semear o caos e a desconfiança”, escreveu o vice-presidente de segurança da Microsoft, Tom Burt, em uma postagem no blog da Microsoft.
O ransomware assume o controle dos computadores-alvo e os congela até que as vítimas paguem o resgate (embora especialistas recomendem que os atacados não incentivem os hackers a cumprir suas exigências). O Departamento do Tesouro alertou que o pagamento de resgates pode violar a política de sanções dos EUA.
“Cortamos a infraestrutura chave para que aqueles que operam o Trickbot não sejam mais capazes de iniciar novas infecções ou ativar ransomwares já instalados em sistemas de computador”, afirmou o comunicado.
Um relatório técnico separado da Microsoft na segunda-feira disse que o Trickbot foi usado para espalhar o ransomware chamado Ryuk. Especialistas em segurança dizem que Ryuk está atacando em média vinte organizações por semana. Teria sido ele o ransomware que invadiu a Universal Health Services, uma das maiores empresas de hospitais do país.
De acordo com a Microsoft, o Trickbot também foi usado para espalhar e-mails falsos e maliciosos contendo malware que tentavam atrair as vítimas com mensagens envolvendo o movimento Black Lives Matter e a Covid-19.
A Microsoft disse que o Trickbot infectou mais de 1 milhão de dispositivos de computação em todo o mundo desde 2016 e que seus operadores agiram em nome de governos e organizações criminosas, mas sua identidade exata permanece ambígua.
A derrubada do Trickbot acontece após uma série de ataques amplamente divulgados nas últimas semanas: um atingiu a Tyler Technologies, um fornecedor de software usado por vários governos locais, e o outro a já citada Universal Health Services, uma das maiores empresas de hospitais do país.
Um comunicado no site da Tyler Technologies disse que a empresa não fabrica diretamente software eleitoral e o software que ela produz e que é usado por órgãos eleitorais para exibir informações de votação é separado de seus sistemas internos que foram afetados pelo ataque.
O ransomware pode representar um risco para o processo eleitoral se os sistemas projetados para apoiar a votação forem derrubados, de acordo com Lotem Finkelsteen, analista de ameaças da empresa de tecnologia Check Point. No entanto, até agora os especialistas consideram isso “uma ameaça hipotética no momento”.
Informações de CNN Brasil.