A SdRedes já publicou anteriormente sobre ransomware e quais seus riscos e impactos, mas caso não tenha lido ou não esteja se lembrando nós refrescamos sua memória: ransomware é um software malicioso que embaralha seus arquivos com uma chave criptográfica gerada aleatoriamente. E após isso envia uma única cópia dessa chave de descriptografia para os bandidos, que pedem uma espécie de resgate em dinheiro para supostamente devolver seus dados e permitir que a empresa continue se movimentando.

Mas agora existe um protagonista entre o ransomware, uma ameaça chamada SamSam que funciona com uma técnica bem diferente daquelas usadas por ransomwares mais antigos como CryptoLocker, CryptoWall e TeslaCrypt.

Em vez de usar técnicas de spam em massa para espalhar o malware para milhões de destinatários ao redor do mundo, na esperança de coletar milhares de dólares no maior número de vítimas possíveis, os adeptos do SamSam usam uma abordagem mais detalhada: eles identificam listas de redes nas quais sabiam que havia uma falha de segurança, como um portal de acesso remoto com uma senha adivinhada, e selecionavam apenas uma rede por vez para atacar.

Ao misturar centenas de computadores em uma única rede ao mesmo tempo – muitas vezes empregando o mesmo tipo de técnicas de script que um administrador de sistema legítimo poderia usar para distribuir uma atualização de software genuína – os criminosos geralmente acabavam se colocando na posição de extorquir dinheiro.

E suas demandas de extorsão refletiam um poder negociação inflexível: geralmente “oferecem” um “preço” de cerca de 8 mil dólares por computador. Ou ainda o “modesto” preço de 50 mil dólares em uma opção que você pode chamar de “um rodízio ‘coma tudo que puder’”, oferecendo uma licença de toda a rede para descriptografar todos os seus computadores por uma quantia fixa.

O empresário ou gestor de TI provavelmente pode imaginar passar alguns dias com 5% ou 10% de sua rede fora de ação, mas não se 50% ou mais de todos os seus laptops e servidores estiverem congelados e inutilizáveis. E foi nisso que os adeptos do SamSam apostaram: uma situação em que algumas organizações estavam de mãos atadas e tinham pouca escolha a não ser pagar.

O FBI afirma ter identificado dois dos perpetradores desse cibercrime de longa data, identificando-os na mídia como Mohammad Mehdi Shah Mansour, de 27 anos, e Faramarz Shahi Savandi, de 34. Ambos supostamente moradores de Teerã, capital do Irã.

O Departamento de Justiça dos EUA publicou uma acusação, hoje sem lacres no Tribunal Distrital de Nova Jersey, cobrando os dois por uma série de crimes, incluindo:

• Conspiração para cometer fraudes e atividades relacionadas em conexão com computadores;
• Conspiração para cometer fraude eletrônica;
• Danos intencionais a um computador protegido;
• Transmitir uma demanda em relação a danificar um computador protegido.

Se os acusados estão, de fato, no Irã, parece improvável – pelo menos no clima político atual – que eles sejam enviados para julgamento nos Estados Unidos.

Isso não significa que eles podem ficar impunes. Se eles tiverem ganho tanto dinheiro quanto parece, eles podem ser enquadrados em regras e regulamentos no Irã, podendo, portanto, enfrentar uma investigação sobre solo doméstico.

Pior ainda, mesmo que essa revelação sirva para assustar os adeptos do SamSam, ainda há muitos crimes cibernéticos, e muitos outros ransomware (e gangues de ransomware) para assumir o controle de onde a equipe do SamSam parou.

Portanto, não se pode deixar que essa notícia te leve a ter uma falsa sensação de segurança – a história do ransomware está repleta de casos sobre novas cepas que assumiram quando os grupos de ransomware existentes foram removidos.

Com informações do blog Naked Security, da Sophos.