Algumas horas de pesquisa, bons contatos e o equivalente a cerca de R$ 35. Foi com essas armas que um pesquisador do Reino Unido foi capaz de parar — ao menos por enquanto — o ransomware WannaCry, que sequestrou sistemas ao redor do mundo e causou pânico em dezenas de países na última sexta-feira (15).
Segundo o BusinessInsider, o salvador é um rapaz que se chama Marcus Hutchins, tem 22 anos e atende pelo apelido de MalwareTech no Twitter. Ele é especialista em cibersegurança e detalhou todo o procedimento em uma postagem chamada "Como Acidentalmente Parar um Ciberataque Global".
Basicamente, tudo o que ele fez foi registrar um domínio que estava sem dono (algo que custa pouco menos de US$ 11) para pausar um dos maiores ataques recentes à rede.
Foi sem querer
Segundo Hutchins, ele estava apenas fazendo o próprio trabalho. Primeiro, ele conseguiu uma amostra do ransomware para análise com um de seus colegas e passou a olhar com cuidado para o código. Foi aí que ele se deparou com um domínio em uma das seções do malware. Era uma sequência enorme e aparentemente aleatória de caracteres.
Como o serviço do pesquisador envolve estudar e deter botnets, ele prontamente registrou o domínio. O motivo? Ela poderia ser a raiz de botnets, além de conter informações valiosas a respeito da infecção.
O "herói" Marcus Hutchins.
Ao fazer o registro do domínio, o pesquisador simplesmente acabou com o espalhamento do ransomware. Os PCs infectados ainda estavam "sequestrados", mas nenhum novo golpe poderia ser realizado. O WannaCry estava oficialmente morto.
Autodestruição
Após fazer a engenharia reversa e debater com outros pesquisadores, Hutchins descobriu o que ele acidentalmente fez para parar o ataque. O WannaCry na verdade tinha um botão de autodestruição, que deveria ser usado em emergências para que ele fosse finalizado.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) 12 de maio de 2017
Antes de atacar, o WannaCry fazia um pedido de acesso para esse endereço. Se ele voltasse como "desocupado", o ataque prosseguia e o sequestro tinha início. Assim, se o domínio em questão fosse registrado, essa era uma forma de dizer que era hora de parar o golpe.
Só que esse "kill switch" ("botão da morte", em tradução literal do termo original) colocado pelos criadores do ransomware dificilmente estará presente em uma versão "2.0" do WannaCry — ou será melhorado, sendo capaz de atualizar o domínio em pouco tempo para que algo assim não aconteça novamente. Os pesquisadores podem então ter vencido a batalha, mas ainda não a guerra.
Categorias