O Centro de Inteligência de Ameaças da Microsoft (MSTIC, na sigla em inglês) identificou, na última quinta-feira (13), uma operação digital maliciosa, empreendida através de um malware destrutivo, contra agências estatais da Ucrânia e organizações que restam serviços ao governo local.

De acordo com o MSTIC, o malware em questão foi desenvolvido para se assemelhar a um ransomware, ataque no qual os sistemas invadidos são bloqueados, e os criminosos digitais só os liberam mediante pagamento de resgate. Entretanto, a ação contra em tela não continha nenhum mecanismo de desbloqueio, o que sugere um ataque disfarçado, cujo único propósito é destruir os sistemas.

O malware foi identificado em dezenas de sistemas, e o número pode crescer conforme avançar a investigação. “Esses sistemas abrangem várias organizações governamentais, sem fins lucrativos e de tecnologia da informação, todas sediadas na Ucrânia”, diz o relatório. “Incentivamos fortemente todas as organizações a conduzirem imediatamente uma investigação completa e implementarem defesas usando as informações fornecidas nesta postagem”, diz o relatório publicado pela Microsoft.

Entre os alvos do ciberataque estão agências governamentais ucranianas que atuam em funções críticas do poder executivo ou de resposta a emergências, segundo a Microsoft. Uma empresa de tecnologia da informação que administra sites para clientes do setor público e privado, cujo nome não foi revelado, também teria sido atingida.

Embora não faça qualquer menção à Rússia, nação mais ativa do mundo no setor de crimes cibernéticos, a empresa cita no relatório a escalada de tensão entre Moscou e Kiev, que gera o temor de um conflito armado. “A Microsoft está ciente dos eventos geopolíticos em andamento na Ucrânia e regiões vizinhas e incentiva as organizações a usarem as informações nesta postagem para se protegerem proativamente contra qualquer atividade maliciosa”.

Russia envolvida

No sábado, Kiev disse suspeitar que o ataque foi obra de um grupo de hackers ligado à inteligência de Belarus, que teria utilizado um malware semelhante ao de outro grupo, esse ligado à inteligência russa. O governo belarusso é aliado de Moscou e também representa ameaça à Ucrânia em caso de conflito armado.

“Acreditamos preliminarmente que o grupo UNC1151 possa estar envolvido neste ataque”, disse Serhiy Demedyuk, vice-secretário do Conselho de Segurança e Defesa Nacional da Ucrânia, à agência Reuters. “A desfiguração dos sites foi apenas uma cobertura para ações mais destrutivas que estavam ocorrendo nos bastidores e cujas consequências sentiremos no futuro próximo”.

Por que isso importa?

A mais recente edição do relatório anual de segurança digital publicado pela Microsoft, que cobre o período entre julho de 2020 e junho de 2021, indica que a Rússia é a nação que mais patrocina ataques hackers no mundo, seguida de longe pela Coreia do Norte.

“O cenário de ataques cibernéticos tem se tornando cada vez mais sofisticado à medida que os criminosos cibernéticos mantêm – e até mesmo intensificam – sua atividade em tempos de crise”, diz o documento de outubro de 2021. “O crime cibernético, patrocinado ou permitido pelo Estado, é uma ameaça à segurança nacional. Ataques ransomware são cada vez mais bem-sucedidos, incapacitando governos e empresas, e os lucros desses ataques estão aumentando”.

Os números colhidos no período mostram que o grupo Nobelium, acusado de ser patrocinado pelo Kremlin, é o mais ativo no mundos, responsável por 59% das ações hackers atreladas a governos. Em segundo lugar aparece o grupo Thallium, da Coreia do Norte, com 16%. O terceiro grupo mais ativo é o iraniano Phosphorus, com 9%.

Entre os setores mais atingidos, o governamental surge em destaque, sendo o alvo dos hackers em 48% dos casos apurados. Em segundo, com 31%, aparecem ONGs e think tanks. Já as nações mais visadas são os Estados Unidos, com 46%, a Ucrânia, com 19%, e o Reino Unido, com 9%.