Caso Maersk: Saiba como o NotPetya foi responsável por um dos maiores ataques cibernéticos da história

Em julho de 2017, a empresa dinamarquesa Maersk, maior operadora de navios de contêineres e navios de abastecimento do mundo, com escritórios em 130 países e uma força de trabalho de cerca de 90.000, foi vítima de um ataque cibernético que usou uma versão supostamente modificada do Petya ransomware, NotPetya, derrubando sistemas de TI e controles operacionais em todos os níveis. 

Após se instalar nas redes de uma embarcação da Maersk, o software malicioso criptografou irreversivelmente os registros mestre de inicialização dos computadores, a parte mais profunda de uma máquina que indica onde encontrar seu próprio sistema operacional. 

Antes de realmente perceberem que estavam enfrentando um ataque cibernético, os funcionários da embarcação se viram perdidos entre diferentes mensagens nas telas das máquinas em letras vermelhas e pretas. Algumas com a mensagem “reparando o sistema de arquivos em C:” com um aviso severo para não desligar o computador. Outros, de forma mais surreal, dizendo: “seus arquivos importantes estão criptografados”, e exigindo que fosse feito um pagamento de $ 300 em bitcoin para descriptografá-los. 

A nova versão do Petya, utiliza o vazamento da ferramenta de invasão e espionagem desenvolvida pela US National Security Agency (NSA), especialmente pelo Equation Group. Além disso, aproveita o exploit do Windows, o EternalBlue, mesma ferramenta utilizada pelo WannaCry, que afetou empresas e governos em todo o mundo no começo de maio de 2017, que permite que malware como o NotPetya se espalhe rapidamente por conta própria em uma rede, podendo infectar uma organização inteira em poucas horas. 

Vale ressaltar que o NotPetya criptografa permanentemente os computadores em que se instala, deste modo, é impossível reverter a situação devido à maneira como essa criptografia é feita, mesmo após o pagamento do resgate ter sido efetuado. Após entenderem que estavam sob um ataque cibernético, instaurou-se um pânico. Os funcionários da Maersk estavam correndo pelos corredores, gritando para seus colegas desligarem os computadores ou desconectá-los da rede da Maersk antes que o agente malicioso pudesse infectá-los, pois perceberam que cada minuto poderia significar dezenas ou centenas de PCs corrompidos. A empresa sofreu graves interrupções e foi forçada a interromper as operações quando o ransomware se espalhou pelos sistemas centrais de TI, e estima-se que o processo de desconectar todos os computadores da rede e manter todos os PCs desligados, levou cerca de 2 horas. Ainda que o ataque tenha paralisado os processos da empresa e causado grandes interrupções, nenhum cliente ou dados de negócios foram expostos publicamente. De acordo com as características e atividades do malware, especialistas em segurança concluíram que o ataque estava atrelado a guerra cibernética vivida entre Ucrânia e Rússia e possuía o objetivo de interromper e danificar os sistemas alvos na Ucrânia. A empresa de segurança ESET estimou no final de junho de 2017, que 80% de todas as infecções foram na Ucrânia, mas o NotPetya se infiltrou também por inúmeras máquinas ao redor do mundo. O resultado foi mais de US $ 10 bilhões em danos totais, de acordo com uma avaliação da Casa Branca confirmada ao WIRED pelo ex-conselheiro de Segurança Interna Tom Bossert. 

Em entrevista para a DARK Reading, o CISO da Maersk, Andrew Powell, afirmou que o NotPetya inutilizou 49.000 laptops, mais de 1.000 aplicativos, todos os sistemas de impressão e compartilhamento de arquivos foram desativados, seu barramento de serviço corporativo e os servidores de gerenciamento em nuvem VMware vCenter foram arruinados e seus servidores DHCP e Active Directory tornaram-se inúteis. Neste período de paralisação total de seus serviços, a empresa não tinha como saber o que havia em seus milhões de contêineres em todo o mundo ou como entregá-los em seus destinos, deste modo causou um impacto significativo em todo o mundo. A empresa buscou inúmeras alternativas para solucionar o problema, inicialmente os funcionários se conectaram rapidamente em seus dispositivos móveis pessoais e usaram grupos do WhatsApp para compartilhar informações, discutir problemas, desenvolver soluções e compartilhar com outras pessoas para colocá-las em ação. Em seguida, os líderes de TI descobriram que o escritório da empresa em Lagos havia sofrido uma queda de energia durante o ataque da NotPetya. Seus sistemas de TI – incluindo sua cópia do Active Directory da empresa – não sofreram danos. O nó do Lagos AD foi removido fisicamente, levado para Copenhague e usado para reconstruir o restante da rede. No entanto, o processo de recuperação do AD levou mais de uma semana. Powell, que ingressou na Maersk em junho de 2018 após o ataque, disse que talvez a lição mais importante aprendida seja a de que as organizações devem direcionar mais recursos de TI para a recuperação do sistema, especialmente os recursos de backup off-line. “Confie em mim, é a melhor coisa para investir”, disse Powell, “porque as armas cibernéticas de alto nível eliminarão tudo o que você tem online”. Manter e garantir a integridade dos dados também deve ser um foco dos programas de segurança cibernética.

Este caso da Maersk (setor marítimo), no qual o impacto negativo foi gigantesco, e diversos outros eventos relacionados a ataques cibernéticos dos últimos anos poderão ser encontrados no livro Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most, de Andy Greenberg, escritor sênior do WIRED. Nesse livro, o autor revela uma constante busca para identificar e rastrear os invasores, um grupo de atacantes chamado de Sandworm, supostamente ligados à Rússia, cuja leitura demonstra a capacidade, complexidade  e impactos de ameaças cibernéticas como o NotPetya e outros,  num trabalho que torna este livro uma leitura obrigatória para os profissionais de segurança da informação, militares, administradores de setores da infraestrutura crítica e demais interessados.

A empresa Clavis Segurança da Informação vem trabalhado para o lançamento da tradução do livro para português do Brasil, adaptando a história contada por Andy para nossa língua oficial, deste modo impulsionando o conhecimento aprofundado sobre os marcos aqui discutidos que circulam mundo afora.

Fontes: ZD Net, Avast Academy, DARK Reading, Wired.