Ataque desliga segurança em nuvem de Alibaba e Tencent para minerar criptomoeda

Malware se espalha por meio de vulnerabilidades já conhecidas por especialistas

Raphael Hernandes
São Paulo

Um malware (programa malicioso) que consegue acessar computadores na nuvem e derrubar suas defesas contra vírus e afins para, então, se aproveitar da máquina para minerar a criptomoeda Monero. Essa é a nova dor de cabeça do mundo digital identificada pela empresa de cibersegurança Palo Alto Networks.

Segundo relatório divulgado nesta quinta-feira (17), trata-se do primeiro malware identificado com essa capacidade de desativar os serviços que oferecem segurança aos sistemas.

“Acreditamos que esse comportamento [desativar as defesas] deva ser uma tendência entre os malwares que visam esse tipo de infraestrutura”, diz o relatório.

Luminoso com as palavras "Alibaba Cloud" aparece aceso com algumas luzes coloridas ao fundo e lâmpadas em formato circular logo abaixo
Estande da Alibaba Cloud em evento do grupo Alibaba, na China - Bobby Yip - 11.nov.2016/REUTERS

O ataque afetou os serviços de “public cloud” (nuvem pública) oferecidos pelas empresas chinesas Alibaba e Tencent, que estão entre as principais no ramo de tecnologia na China.

Em nota, a Tencent confirmou o incidente e afirmou que ele teve um impacto "limitado".

Além disso, disse que trabalha com os clientes para consertar as vulnerabilidades e que implementou um sistema automático para alertar os usuários em futuros casos de incidentes.

Procurada pela Folha, a Alibaba não se pronunciou até a publicação desta reportagem.

No “public cloud”, empresas especializadas oferecem servidores para que outras organizações possam realizar serviços de informática (como armazenar dados e executar programas) por meio da internet. Ou seja, em vez de usar os computadores dentro da própria firma, contratam equipamentos de terceiros para as tarefas.

No relatório, a Palo Alto diz ter alertado Alibaba e Tencent e explica que trabalham em conjunto para sanar o problema. Segundo a empresa, os servidores que foram dominados pelos criminosos foram desativados.

COMO FUNCIONA

O malware descoberto se espalha por meio de diversas vulnerabilidades já conhecidas por especialistas —e por mal-intecionados—, que podem dar acesso privilegiado aos sistemas, como se o criminoso fosse um administrador.

Com as portas abertas, é possível instalar o programa malicioso. Inicialmente, ele desinstala justamente o conjunto de programas que protegem o sistema e poderiam identificar o ataque, como um antivírus.

Só então ele passa a, sorrateiramente, minerar Monero —no meio tempo ele ainda aproveita para desativar quaisquer outros processos de mineração de criptomoeda que eventualmente estejam em execução.

De acordo com Ryan Olson, vice-presidente da divisão de inteligência da Palo Alto Networks, usuários comuns não devem sentir impacto com essa vulnerabilidade. Ele alerta, no entanto, para que empresas que contratem serviços de computação em nuvem com terceiros tenham o cuidado de manter os softwares atualizados.

“Organizações usando esses tipos de infraestrutura precisam entender que são responsáveis por parte da segurança”, afirma Olson. “Os sistemas que foram comprometidos tinham vulnerabilidades já conhecidas com correções disponíveis, mas cabe às empresas [que contratam o serviço] aplicar essas correções.”

Outras variantes desse mesmo malware já haviam sido identificadas em agosto de 2018 pela empresa de tecnologia Cisco, em ataques orquestrados pelo grupo cibercriminoso conhecido como “Rocke”.

Tópicos relacionados

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.