O que se sabe sobre os ataques cibernéticos realizados nos aeroportos europeus
Informações a respeito do ransomware utilizado nos ataques na Europa.
No dia 19 de setembro, uma ofensiva cibernética ao sistema MUSE (Multi-User System Environment) da Collins Aerospace, que é responsável pelo processamento de passageiros em diversos aeroportos europeus, causou falhas em vários setores importantes, forçando operações manuais de check-in e embarque.
A agẽncia Europeia de Cibersegurança (ENISA) confirmou ao The Guardian que se tratou de um ataque de ransomware, um malware que criptografa dados e exige pagamentos para desbloqueio, mantendo as operações da empresa como refém. Investigadores e especialistas de cibersegurança, como Kevin Beaumont, indicaram que há fortes indícios de que os atacantes tenham usado uma variante "incrivelmente simples" denominada HardBit .
Essa família de ransomwares surgiu em 2022 e não possui um portal de negociações próprio, tal como variantes mais sofisticadas como LockBit, Conti e REvil, que criam painéis, usualmente na rede Tor, onde as vímitas podem entrar para realizar o pagamento. No caso do HardBit, os papéis de parede das máquinas são alterados com instruções de contato através de um protocolo de mensagens peer-to-peer (Tox).
Entretanto, o fato de ser uma variante pouco sofisticada, não deve ser utilizada como base para garantir que o ataque não teve relações com atividades de grupos de inteligência de estados nações.
Historicamente, o famoso ataque de 2017 , conhecido como NotPetya, que interrompeu as operações de diversas multinacionais em atividade na Ucrânia utilizando-se de um wiper (malware cuja função é destruir os sistemas, tornando os dados irrecuperáveis) disfarçado de ransomware, também não possuía portais de negociação próprios, modificando os papéis de parede dos computadores atacados com instruções de pagamento em Bitcoin para um endereço específico. O ataque foi atribuído por diversos relatórios oficiais ao Estado russo, especificamente ao grupo militar de ciberespionagem Sandworm.
Além disso, após a infecção e a encriptação de servidores críticos da plataforma MUSE, como os Controladores de Domínio, servidores especializados que fornecem serviços de autenticação, autorização e gestão de diretórios para os hosts de uma rede, os esforços de recuperação operados pela Collins Aerospace tiveram que ser reiniciados mais de uma vez porque, possivelmente com a presença de backdoors ou persistência nas redes, os sistemas restaurados eram reinfectados.
Enquanto o vetor de ataque ainda continua sendo investigado, com especialistas sugerindo possibilidade de phishing ou comprometimento de credenciais, sabe-se que a rede corporativa principal da RTX, controladora da subsidiária Collins Aerospace, não foi afetada pelo ataque, indicando que o ataque se concentrou apenas na infraestrutura fornecida aos aeroportos, que utilizavam instâncias do MUSE em suas redes locais.
O evento demonstrou o potencial disruptivo de um ataque 'suply-chain', onde um elo intermediário, que entrega serviços para a organização vítima, é explorado, e demanda futuras investigações para estabelecer de forma final os autores, o vetor de ataque e as falhas de segurança que o permitiram ocorrer.