Darren Cauthon teve azar. No dia de Natal de 2016 quis ver televisão, mas descobriu que tinha de pagar um resgate para aceder ao seu próprio televisor, após a mulher ter feito o "download" de uma aplicação para a "smart TV". Segundo um falso comunicado do FBI visível no ecrã, tinha de pagar 500 dólares para voltar a ter acesso aos canais televisivos e a todas as outras funções do dispositivo alegadamente "inteligente".
Cauthon ficou sem o "smart" televisor, mas, apesar de tudo e por ser informático, percebeu que o equipamento da LG com o sistema operativo Android tinha sido infectado por uma versão do "ransomware" Cyber.Police, também conhecido por FLocker, Frantic Locker ou Dogspectus.
O "ransomware" é uma forma de resgate que bloqueia o acesso a um dispositivo electrónico a partir do software instalado e com acesso à Internet - seja um computador, um smartphone ou um televisor. Este tipo de software maligno (também conhecido por "malware") assume normalmente ser de uma entidade oficial como o FBI, no caso de Cauthon, e pede o pagamento de uma determinada soma de dinheiro normalmente na moeda virtual bitcoin para o utilizador poder aceder novamente a esse mesmo dispositivo.
Cauthon usou o Twitter para revelar um outro aspecto: a LG não lhe quis dar acesso à função de poder re-iniciar o software do televisor e livrar-se do pedido de "ransomware". O suporte técnico da fabricante sul-coreana nos EUA chegou a afirmar que o podia ajudar mas por um custo de 340 dólares ou, em alternativa, devia visitar um centro de apoio técnico para os funcionários efectuarem a actualização do software do televisor.
Por fim, a LG explicou a Cauthon a sequência em quatro passos para re-iniciar o televisor sem quaisquer problemas, que ele registou em vídeo.
Porque só vai piorar (antes de piorar ainda mais)
Electrodomésticos, de frigoríficos a televisores "inteligentes", de torradeiras a aparelhos de ar condicionado, estão crescentemente a ser ligados à Internet, com o objectivo de facilitar a vida dos seus utilizadores. Mas, por estarem online, ficam vulneráveis a acessos externos e ilegítimos. Isto ocorre por duas principais razões: a generalização do que se chama a Internet das Coisas (ou IoT, de Internet of Things), vendida como um benefício para os utilizadores dos equipamentos, e o desconhecimento generalizado desses compradores em garantir a segurança dos mesmos.
No caso dos televisores ligados à Internet, o problema não é novo mas há alertas recentes das empresas de segurança para potenciais ataques. Num teste realizado em Novembro de 2015, investigadores da empresa de segurança Symantec instalaram "ransomware" numa "smart TV" mas, apesar do responsável pelo ataque conhecer bem o "malware" do Android, foi "muito difícil remover" esse programa do televisor, considerando mesmo ser uma tarefa "muito difícil e quase impossível para um utilizador não técnico".
Um outro teste, realizado poucos meses depois noutra empresa de segurança informática, chegou à conclusão de que o FLocker representava uma ameaça antecipada: "utilizar vários dispositivos que usam uma mesma plataforma facilita a vida a muitas pessoas. No entanto, se um malware afecta um desses dispositivos, esse malware também pode afectar os outros. Este parece ser o caso quando nos deparamos com um 'ransomware'" como o FLocker.
Em Setembro passado, a Europol considerou o "ransomware" como a sua "preocupação dominante", até porque as variantes desse tipo de software se tinham "multiplicado". Este tipo de problemas só vai piorar, generalizando-se a diversos electrodomésticos. Vários fabricantes anunciaram querer ligar todos os dispositivos à Internet - incluindo o prato de comida dos animais de estimação, o chuveiro controlado pelo WiFi e por smartphone para ter uma oferta personalizada ou até a torradeira.
De forma mais generalizada e mais preocupante, todos estes "gadgets" acabam ligados a uma central eléctrica - afinal, todos consomem electricidade. Estes contadores eléctricos "smart" são perigosos porque quem lhes aceder ilegalmente pode também "controlar estes 'gadgets' e aplicações e potencialmente destrancar as portas" de uma habitação.
O melhor exemplo deste potencial destrutivo foi o ataque a 21 de Outubro passado à Internet, através de mais de 100 mil dispositivos domésticos da IoT - de videocâmaras digitais a gravadores de televisão - cujas "passwords" de origem não tinham sido alteradas.
O "maior" ataque coordenado à Internet, através da "botnet" Mirai (um conjunto enorme de dispositivos online "infectados" com "malware"), visou a infra-estrutura da rede e dos nomes de domínio pelos quais se acede (seja google.pt, sapo.pt ou twitter.com, só para exemplificar). No que se chama um ataque distribuído de negação de serviço (DDoS), a Mirai gerou um tráfego enorme de ligações a diversos sites, o que acabou por impedir o acesso normal aos mesmos.
Portugal está protegido?
O "ransomware" usa uma estratégia que dá credibilidade perante pessoas que o não conhecem: a mensagem é alegadamente enviada por uma autoridade. No caso de Cauthon, foi o FBI mas, para Portugal, surgiram igualmente há poucos anos mensagens semelhantes da Polícia de Segurança Pública, da Polícia Judiciária ou até da Sociedade Portuguesa de Autores.
Em Março de 2012, o "Polícia de Segurança Pública Portuguese Virus" não passava de uma cópia, "uma de várias versões do Ukash Winlocker, também conhecido por Bundespolizei Fake Alert e Metropolitan Police Virus". A vítima tinha de pagar 100 euros para poder desbloquear o seu dispositivo, sendo acusada de ter no computador "actividades ilegais" como pornografia infantil, e sendo-lhe dado um período curto para pagar ou o conteúdo do computador seria enviado para as autoridades e completamente eliminado.
Em Março de 2013, o "SPAUTORES O Seu Computador Foi Bloqueado" foi considerado uma cópia de um "malware" com alegada origem nas sociedades de direitos autorais da Europa, alterando a mensagem relativamente à entidade responsável pelo direito de autor consoante o país onde era disseminada. Na realidade, não passava de uma modificação do chamado "Police Ransomware", que usava as forças de autoridade para credibilizar a ameaça, neste caso acusando o utilizador de violação de direitos de autor e de potencial prisão, excepto se pagasse "centenas de euros".
Tal como sucedia com o "Polícia Judiciária de Portugal Ransomware", descoberto em Agosto desse ano e que acusava o utilizador de ver pornografia ou de distribuição de "malware", o pagamento do resgate não garantia a recuperação integral do dispositivo.
O Relatório Anual de Segurança Interna relativo a 2014 descreveu este tipo de actividades como "cibercriminalidade organizada", num ano "marcado pelo incremento do número de incidências e do nível de sofisticação/complexidade de malware especificamente desenhado para defraudar utilizadores dos sistemas nacionais da banca online, bem como ransomware dirigido a pequenas e médias empresas, instituições públicas e a particulares".
Na edição do mesmo relatório para 2015, no âmbito do cibercrime organizado, continuava "a destacar-se o fenómeno do ransomware e as campanhas de "phishing".
Em Fevereiro de 2015, a PJ confirmou uma "vaga de ataques aos sistemas informáticos de empresas portuguesas, com a exigência às vítimas de resgates em Bitcoins (moeda virtual) para repor o acesso aos dados encriptados", que também "afectou escolas e todos os ministérios do Governo", bem como "técnicos de contas, advogados e contabilistas" e "algumas das vítimas terão pago resgates na ordem dos mil euros. Nuns casos, recuperam os dados, noutros não, apesar de cederem à exigência". Embora uma "nova vaga de ataques" se tenha iniciado no primeiro mês de 2015, "a maioria das queixas é referente já ao ano passado".
Quanto vale o negócio da extorsão online?
Ao contrário de Cauthon, constata-se que não é fácil para o utilizador comum percorrer os caminhos que o levam a libertar o seu televisor ou outro dispositivo doméstico de um ataque que os fabricantes deviam ter antecipado e prevenido, sem os utilizadores terem de passar por estes constrangimentos.
Os ataques ao software eram comuns nos computadores pessoais e passaram agora, naturalmente, para todos e quaisquer dispositivos ligados à Internet. É bom recordar que a origem do "ransomware" remonta a 1989, com o AIDS Trojan.
Em 2006, surgiu o Archiveus Trojan, que cifrava a pasta "My Documents" num computador, apenas podendo ser re-aberta após compras em certos sites. Sete anos depois, surgiu o Cryptolocker que, com a moeda virtual Bitcoin, "abriu a porta aos pagamentos anónimos de resgates". Actualmente, o uso de "uma única família de [variantes do mesmo] ransomware pode exceder os 325 milhões de dólares".
A empresa de segurança McAfee antecipa uma derivação neste tipo de malware durante 2017 pela sua migração para os dispositivos da IoT, "por ser uma forma fácil de os criminosos ganharem dinheiro", assim como para os dispositivos médicos ligados à Internet - algo que "deverá continuar nos próximos dois a quatro anos".
Para se ter uma ideia do interesse dos cibercriminosos no acesso a dados críticos, como os da saúde, 14 hospitais norte-americanos foram atacados com pedidos de "ransomware" em 2016. No caso mais mediático do Hollywood Presbyterian Medical Center, em Los Angeles, este aceitou pagar 17 mil dólares em bitcoins, após estar uma semana sem acesso à sua rede informática.
Segundo o FBI, os pagamentos de "ransomware" no último ano atingiram os mil milhões de dólares nos EUA, um enorme crescimento perante os 24 milhões entregues em 2015.
A tendência deverá ainda ser acentuada pela oferta generalizada deste tipo de extorsão como um serviço, pago no mercado ilegal para objectivos muito diferentes, ou criado por "novatos" que adoptam plataformas de "ransomware" disponibilizadas online.
Além disso, há quem antecipe que "apesar da sua popularidade, é muito provável que os cibercriminosos de menor nível se unam" e surja "cada vez mais 'ransomware' que não cumpra com as garantias de qualidade ou a capacidade para cumprir com as suas promessas de decifrar os dados". O que levará ao descrédito das promessas junto dos utilizadores, com mais queixas e um maior envolvimento das autoridades, com um potencial decréscimo deste tipo de ataques. Ou não, pela diferenciação da oferta dos cibercriminosos que rapidamente estão a modificar os seus métodos.
Por exemplo, investigadores descobriram recentemente um novo tipo de "ransomware", o Spora, que "oferece diversos pacotes de forma a que a vítima possa escolher apenas recuperar dados cifrados ou optar por recuperar os dados e ganhar imunidade perante ataques futuros de 'ransomware'". Quem quiser acreditar em promessas não validadas, vai pagar.
Comentários