- Global Voices em Português - https://pt.globalvoices.org -

Por que metade dos computadores infectados pelo WannaCry no mundo estão na China?

Categorias: Leste da Ásia, China, Mídia Cidadã, Primeira Mão, Tecnologia, GV Advocacy
[1]

Rede da segurança pública Da China também foi alvo do ransomware WannaCry. Foto do Weibo, divulgada via Letscorp

A China é um dos países que mais vem sofrendo com ataques do ransomware conhecido como “WannaCry”, lançado no dia 12 de maio, que infectou mais de 230 000 computadores em 99 países em somente um dia.

O Centro Nacional de Segurança Cibernética do país confirmou [2] a notícia de que, até o dia 14 de maio, metade dos IPs infectados eram da China. Os ataques afetaram por volta de 30 000 instituições, dentre universidades, alfândegas e postos de combustíveis.

Acredita-se que o ransomware [3] tenha sido criado a partir do software “Eternal Blue” da Agência de Segurança Nacional norte-americana (NSA) e que ataca computadores que utilizam o Windows, além de bloquear o acesso dos usuários aos seus arquivos, que são criptografados. Os hackers então pedem 300 dólares em bitcoins para que os arquivos sejam liberados. Todos os computadores com Windows conectados à porta 445 (porta de protocolos de compartilhamento de documentos) estariam vulneráveis a ataques se não tivessem patches de atualização de segurança instalados, disponibilizados em março de 2017.

O ransomware chegou a ser contido quando um pesquisador britânico descobriu um dispositivo de segurança, um “kill switch”, mas no dia 14 de maio, surgiu uma versão 2.0 do “WannaCry” [4].

Quem tem computador na China está mais suscetível a ataques, uma vez que muitos usuários possuem versões alternativas ou desatualizadas do Windows e acabam não recebendo atualizações de segurança. Mais grave ainda, muitos usuários não sabiam do ataque, já que foram poucos os meios de comunicação a veicular notícias sobre os riscos de segurança.

Muitos provedores de Internet da China bloquearam a porta 445, usada principalmente no compartilhamento de arquivos do Windows, com o intuito de evitar possíveis ataques em massa a usuários do sistema operacional; entretanto, diversas instituições que prestam serviço ao público, como universidades, órgãos de segurança e postos de combustíveis não tomaram a mesma medida.

Campi de universidades de todo país estão entre os mais afetados, com relatos de ataques a instituições de ensino em Qinghua, Beida, Shanghai Jiaotong e Shandong. Um grande número de trabalhos acadêmicos e projetos de pesquisa foram criptografados pelo ransomware e continuam bloqueados. Meios de comunicação locais informaram [5] que:

截至到5月13日20点,国内有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招…

Até às 8 da noite do dia 13 de maio, centenas de milhares de computadores de 29 372 instituições tinham sido atacados pelo ransomware. O número de instituições de ensino infectadas é de 4341.

Ao noticiar o ataque, o veículo estatal Xinhua citou [2] o Centro Nacional de Segurança Cibernética:

截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。

Às 10h30min do dia 14 de maio, o Centro Nacional de Segurança Cibernética detectou 2 423,000 IPs atacados por conta do exploit Eternal Blue; o número de IPs infectados pelo ransomware passa dos 35 000 no mundo todo, enquanto na China, aproximadamente 18 000 IPs foram infectados.

Não foi só o setor da educação que foi afetado; com as redes de segurança pública ficando comprometidas, alguns postos de imigração tiveram seu sistema paralisado [6].

Autoridades de segurança pública da cidade de Xiangshui e da província de Jiangsu disseram nas redes sociais que o sistema de imigração estavam sendo atacado e que seria necessário desativar os postos de imigração. Internautas informaram que os serviços de imigração de Shangai e do distrito de Chaoyang, na capital Beijing, também foram paralisados por causa do ataque do ransomware.

À meia-noite do dia 13 de maio, várias bombas de combustível automáticas da PetroChina pararam de funcionar. O problema persistiu até o meio-dia do dia seguinte.

Com o surgimento da versão 2.0 do “WannaCry”, que não pode ser impedida pelo dispositivo de segurança supracitado, as autoridades chinesas emitiram um alerta nos principais portais da internet, meios de comunicação e redes de universidade em um esforço para evitar que o ransomware se alastre.

Até então, pouco se sabe sobre o fato de a China ter se tornado um dos países mais vulneráveis ao ataque do ransomware. Canais de mídia oficiais sugerem [7] que o ransomware se alastrou dessa forma, pois muitos estudantes universitários utilizam as redes de suas universidades para jogar on-line. Contudo, isso não explica por que a segurança pública e as redes de postos de gasolina também foram infectadas.