Ataques de ransomware tem sido cada vez mais usados por hackers, mas poucos parecem ter sido tão inusitados quanto o que ocorreu com uma petroquímica europeia. Um dos seus funcionários, que não deseja ser identificado, descreveu uma história curiosa de como uma máquina de café deixou toda a equipe de segurança de cabelo em pé, infectando computadores desconectados da internet. O engenheiro químico e cientista da computação descreveu o caso no Reddit usando o pseudônimo “C10H15N1”. Essa é a fórmula da Dietilanilina, substância usada em corantes.
Sem revelar o nome, o profissional deixou claro que é uma petroquímica de grande porte, presente em toda a Europa. Cada uma das unidades conta com uma sala de controle com máquinas responsáveis pelo monitoramento da fábrica. E esses computadores soam alarmes quando identificam algum problema. Seja porque um duto está sobrecarregado ou as temperaturas não estão adequadas.
Além das salas de controle locais, há um centro de monitoramento geral e externo às fábricas. Lá, uma equipe trabalha monitorando todas as fábricas ao mesmo tempo. Nosso químico oculto “Dietilanilina” fica justamente nesse QG de contenção de crises. No local, ele recebe chamados de qualquer unidade da petroquímica e tenta resolver à distância. Como ele também tem formação em programação, tem conhecimentos para lidar com eventuais falhas na fábrica e ajustar os sistemas para evitar panes de larga escala.
A ação dos hackers
O ataque hacker ocorreu em um dia que aparentava ser como qualquer outro. Nenhum alarme até então e todos os sistemas trabalhando corretamente. Foi então quando a central de controle recebeu uma ligação de uma das fábricas, de um funcionário completamente assustado, dizendo que todos os computadores haviam sido infectados com um virus. Depois de descrever o que via nas telas, o relator do caso cravou: tratava-se de uma infecção por ransomware.
Ransomwares são ameaças conhecidas por sequestrarem os arquivos de um computador por meio de criptografia, impedindo cópias de segurança. Em alguns casos, como no Petya, a codificação pode acontecer já no boot do computador, algo que impossibilita até a formatação. Hackers usam ataques do tipo para pedir resgate – normalmente em bitcoins, que são difíceis de rastrear – ou para minerar moedas criptográficas similares.
Independentemente da criptografia e do tipo de resgate, um ransomware não é desejável em uma petroquímica. E justamente por isso as máquinas da central de controle são completamente offline. Elas são conectadas a uma rede local sem ligação com a internet, e nem têm portas USB para evitar contato com dispositivos físicos infectados.
Máquinas de café
Mas, o ransomware chegou aos computadores? Sem resposta, o profissional que descreveu o caso no Reddit preferiu primeiro tomar a medida mais sensata: formatar tudo e reinstalar o sistema a partir de uma imagem de backup. Depois de longas horas de trabalho, finalmente tudo estava funcionando como antes, sem virus para atrapalhar. Mas, pouco a pouco, os sistemas começaram a mostrar o ransomware mais uma vez.
Mesmo offline, os computadores pareciam estar sendo infectados por uma fonte desconhecida dentro da fábrica. Exausto, o funcionário que trabalhava em conjunto com o “Dietilanilina”, decidiu pegar um café. Foi quando ele viu que todas as máquinas de café acusavam a mesma mensagem de ransomware nas telas.
Máquinas de café modernas são conectadas à internet para exibir informações de clima e propaganda. Mais tarde, a equipe de segurança da petroquímica descobriu que ao menos uma das máquinas havia sido conectada acidentalmente na rede interna da fábrica. O técnico, no momento da instalação, ligou a máquina na rede cabeada e só depois percebeu que não havia conexão externa ali. Após conectar ao Wi-Fi isolado, dedicado às máquinas de café, ele supostamente esqueceu de desconectar da rede local.
Windows XP
As máquinas de café abriram caminho para o ransomwar, mas nada teria ocorrido sem o Windows XP. O antigo sistema operacional tem sido um dos principais alvos de ataques recentes pela desproporção entre pacotes de segurança (que não existem mais oficialmente) e sua popularidade no mundo.
Os sistemas da petroquímica não são atualizados por conta de uma burocracia que só permite o procedimento com inspeção governamental. Como a inspeção só pode ocorrer com a fábrica fechada, a janela de atuação é pequena demais. Por isso, os computadores são mantidos sempre offline e sem serem atualizados. É possível, portanto, que eles nem tenham recebido um importante patch de segurança. O pacote liberado pela Microsoft corrige a vulnerabilidade no SMB v1, porta de entrada para ransomwares como o WannaCry e o Petya.
Apesar do técnico que instalou as máquinas ter tido culpa, esse acabou virando mais um problema de segurança na conta da Microsoft.