A história do malware: uma introdução à evolução das ameaças cibernéticas

Malware, que significa "software malicioso", refere-se a qualquer software, código ou programa de computador intencionalmente projetado para causar danos a um sistema de computador ou seus usuários. Quase todo ataque cibernético moderno envolve algum tipo de malware. Esses programas prejudiciais podem variar em gravidade, desde altamente destrutivos e caros (ransomware) até meramente irritantes, mas inócuos (adware).

Todos os anos, ocorrem bilhões de ataques de malware a empresas e indivíduos. O malware pode infectar qualquer tipo de dispositivo ou sistema operacional, incluindo Windows, Mac, iPhone e Android.

Os criminosos cibernéticos desenvolvem e usam malware para:

• Manter dispositivos, dados ou redes empresariais sequestrados por grandes somas de dinheiro
• Obter acesso não autorizado a dados sensíveis ou ativos digitais
• Roubar credenciais de login, números de cartões de crédito, propriedade intelectual, informações pessoalmente identificáveis (PII) ou outras informações valiosas
• Interrompa sistemas críticos nos quais empresas e agências governamentais confiam

Embora os termos sejam frequentemente usados de forma intercambiável, nem todos os tipos de malware são necessariamente vírus. Malware é o termo genérico que descreve vários tipos de ameaças, tais como:

Vírus: um vírus de computador é definido como um programa malicioso que não pode se replicar sem interação humana, seja clicando em um link, baixando um anexo, iniciando uma aplicação específica ou várias outras ações.

Worms: essencialmente um vírus autorreplicante, worms não exigem interação humana para se espalhar, penetrando profundamente em diferentes sistemas de computador e movendo-se entre dispositivos.

Botnets: uma rede de computadores infectados controlados por um único agressor conhecido como "bot-herder", que trabalha em conjunto.

Ransomware: um dos tipos mais perigosos de malware, pois ataques de ransomware tomam controle de sistemas críticos de computadores ou dados sensíveis, bloqueando o acesso dos usuários e exigindo resgates exorbitantes em criptomoedas, como Bitcoin, em troca do acesso recuperado. O ransomware continua sendo um dos tipos mais perigosos de ameaças cibernéticas hoje em dia.

Ransomware de múltipla extorsão: como se os ataques de ransomware já não fossem ameaçadores o suficiente, o ransomware de múltipla extorsão adiciona camadas adicionais para causar mais danos ou aumentar a pressão sobre as vítimas para que cedam. No caso dos ataques de ransomware de dupla extorsão, o malware é usado não apenas para criptografar os dados da vítima, mas também para exfiltrar arquivos sensíveis, como informações de clientes, que os atacantes ameaçam divulgar publicamente. Os ataques de tripla extorsão vão ainda mais longe, com ameaças de interromper sistemas críticos ou estender o ataque destrutivo aos clientes ou contatos da vítima.

Vírus de macro: macros são séries de comandos geralmente incorporadas em aplicações maiores para automatizar rapidamente tarefas simples. Os vírus de macro aproveitam-se dos macros programáticos ao incorporar software malicioso em arquivos de aplicações que serão executados quando o programa correspondente for aberto pelo usuário.

Cavalos de Troia: nomeados pelo famoso Cavalo de Troia, eles disfarçam-se como programas úteis ou escondem-se dentro de softwares legítimos para enganar os usuários a instalá-los.

Spyware: comum na espionagem digital, o spyware oculta-se dentro de um sistema infectado para coletar informações sensíveis em segredo e transmiti-las de volta a um atacante.

Adware: considerado principalmente inofensivo, o adware geralmente é encontrado junto com software gratuito e envia spam aos usuários com pop-ups indesejados ou outros anúncios. No entanto, alguns adwares podem coletar dados pessoais ou redirecionar os navegadores da web para sites maliciosos.

Rootkit: um tipo de pacote de malware que permite aos hackers obter acesso privilegiado, a nível de administrador, ao sistema operacional de um computador ou a outros recursos.

Devido ao enorme volume e variedade, uma história completa do malware seria bastante extensa. Em vez disso, aqui está uma visão de alguns momentos infames na evolução do malware.

À medida que os primeiros computadores modernos estavam sendo construídos, o matemático pioneiro e colaborador do Projeto Manhattan John von Neumann estava desenvolvendo o conceito de um programa que poderia se reproduzir e se espalhar por um sistema. Publicado postumamente em 1966, seu trabalho, Theory of Self-Reproducting Automata, serve como base teórica para vírus de computador.

Apenas cinco anos após a publicação do trabalho teórico de John von Neumann, um programador chamado Bob Thomas criou um programa experimental chamado Creeper, projetado para se mover entre diferentes computadores na ARPANET (link externo a ibm.com), um precursor da internet moderna. Seu colega Ray Tomlinson, considerado o inventor do e-mail, modificou o programa Creeper para não apenas se mover entre computadores, mas também se copiar de um para outro. Assim nasceu o primeiro worm de computador.

Embora o Creeper seja o primeiro exemplo conhecido de um worm, na verdade não é malware. Como prova de conceito, o Creeper não foi criado com intenção maliciosa e não danificou ou interrompeu os sistemas que infectou, exibindo apenas a mensagem curiosa: "I’M THE CREEPER : CATCH ME IF YOU CAN." Aceitando seu próprio desafio, no ano seguinte Tomlinson também criou o Reaper, o primeiro software antivírus projetado para deletar o Creeper ao se mover pelo ARPANET.

Desenvolvido por Rich Skrenta quando ele tinha apenas 15 anos, o programa Elk Cloner foi criado como uma brincadeira. Como membro do clube de computadores de sua escola, Skrenta era conhecido entre seus amigos por alterar os jogos e outros softwares compartilhados entre os membros do clube, a ponto de muitos membros se recusarem a aceitar um disco do conhecido brincalhão.

Na tentativa de alterar o software de discos que não podia acessar diretamente, Skrenta inventou o primeiro vírus conhecido para computadores Apple. O Elk Cloner, que agora chamaríamos de vírus do setor de inicialização, se propagava infectando o sistema operacional Apple DOS 3.3 e, uma vez transferido de um disquete infectado, se copiava para a memória do computador. Quando um disquete não infectado era inserido no computador, o Elk Cloner se copiava para aquele disco, espalhando-se rapidamente entre a maioria dos amigos de Skrenta. Embora deliberadamente malicioso, o Elk Cloner podia inadvertidamente sobrescrever e apagar alguns disquetes. Também continha uma mensagem poética que dizia:

ELK CLONER:

O PROGRAMA COM PERSONALIDADE

ELE SE ESPALHARÁ POR TODOS OS SEUS DISQUETES

ELE INFILTRARÁ SEUS CHIPES

SIM, É CLONER!

ELE GRUDARÁ EM VOCÊ COMO COLA

ELE TAMBÉM MODIFICARÁ A RAM

ENVIE O CLONER!

Embora o worm Creeper pudesse se mover entre computadores na ARPANET, antes da adoção generalizada da Internet, a maioria dos malwares era transmitida por meio de disquetes, como o Elk Cloner. No entanto, enquanto os efeitos do Elk Cloner estavam restritos a um pequeno clube de computadores, o vírus Brain se espalhou mundialmente.

Criado pelos distribuidores de software médico paquistaneses e irmãos, Amjad e Basit Farooq Alvi, o Brain é considerado o primeiro vírus para o IBM Personal Computer e foi inicialmente desenvolvido para prevenir a violação de direitos autorais. O vírus foi projetado para impedir que usuários usassem versões copiadas de seu software. Quando era instalado, o Brain exibia uma mensagem pedindo aos piratas que ligassem para os irmãos para receber a solução. Subestimando o quão abrangente era seu problema de pirataria, os Alvi receberam sua primeira ligação dos Estados Unidos, seguida por muitas, muitas mais de todo o mundo.

O worm Morris é outro precursor de malware que foi criado não com intenção maliciosa, mas como uma prova de conceito. Infelizmente para o criador, Robert Morris, estudante do MIT, o worm acabou sendo muito mais eficiente do que ele esperava. Na época, apenas cerca de 60.000 computadores tinham acesso à internet, principalmente em universidades e nas Forças Armadas. Projetado para explorar uma vulnerabilidade em sistemas Unix e se manter oculto, o worm se espalhou rapidamente, copiando-se repetidamente e infectando 10% de todos os computadores em rede.

Como o worm não apenas se copiava para outros computadores, mas também se copiava repetidamente em computadores infectados, ele consumiu memória e trouxe múltiplos PCs a uma parada completa. Como o primeiro ataque cibernético disseminado pela internet, o incidente causou danos que algumas estimativas colocaram na casa dos milhões. Por seu envolvimento, Robert Morris foi o primeiro cibercriminoso condenado por fraude cibernética nos Estados Unidos.

Embora não tão prejudicial quanto o worm Morris, cerca de uma década depois, o Melissa demonstrou a rapidez com que o malware pode se espalhar por e-mail, infestando cerca de um milhão de contas de e-mail e pelo menos 100.000 computadores em locais de trabalho. O worm que mais rapidamente se espalhou em seu tempo, causou grandes sobrecargas nos servidores de e-mail Microsoft Outlook e Microsoft Exchange, resultando em lentidão em mais de 300 corporações e agências governamentais, incluindo a Microsoft, a Equipe de Resposta a Emergências de Computadores do Pentágono e aproximadamente 250 outras organizações.

Necessidade é a mãe da invenção. Quando Onel de Guzman, residente das Filipinas de 24 anos, se viu incapaz de pagar por um serviço de internet discada, ele criou um vírus worm macro que roubaria senhas de outras pessoas, tornando o ILOVEYOU o primeiro exemplo significativo de malware descarado. O ataque é um exemplo precoce de engenharia social e phishing. Onel de Guzman usou a psicologia para atacar a curiosidade das pessoas e manipulá-las para baixar anexos de e-mail maliciosos disfarçados de cartas de amor. "Eu percebi que muitas pessoas querem um namorado, querem umas às outras, querem amor", disse de Guzman. 

Uma vez infectado, o worm fazia mais do que roubar senhas; também deletava arquivos e causava milhões em danos, chegando a paralisar o sistema de computadores do Parlamento do Reino Unido por um breve período. Embora de Guzman tenha sido capturado e preso, todas as acusações foram retiradas, pois ele não havia violado nenhuma lei local.

Semelhante ao ILOVEYOU, o worm Mydoom também usou e-mail para se autorreplicar e infectar sistemas ao redor do mundo. Depois de se enraizar, o Mydoom sequestrava o computador da vítima para enviar mais cópias de si mesmo. Surpreendentemente eficaz, o spam do Mydoom chegou a representar 25% de todos os e-mails enviados mundialmente, um recorde que nunca foi quebrado, e causou danos de USD 35 bilhões. Ajustado pela inflação, ainda é o malware mais destrutivo em termos monetários já criado.

Além de sequestrar programas de e-mail para infectar o maior número possível de sistemas, o Mydoom também usou computadores infectados para criar um botnet e lançar distributed denial-of-service (DDoS). Apesar de seu impacto, os cibercriminosos por trás do Mydoom nunca foram capturados ou mesmo identificados.

Identificado pela primeira vez em 2007, o Zeus infectava computadores pessoais por meio de phishing e downloads automáticos, demonstrando o perigoso potencial de um vírus do tipo cavalo de Troia capaz de entregar muitos tipos diferentes de software malicioso. Em 2011, seu código fonte e manual de instruções vazaram, fornecendo dados valiosos tanto para profissionais de cibersegurança quanto para outros hackers.

Um dos primeiros casos de ransomware, o CryptoLocker é conhecido por sua rápida disseminação e poderosos recursos de criptografia assimétrica (para a época). Distribuído através de botnets comprometidos pelo vírus Zeus, o CryptoLocker criptografa sistematicamente dados em PCs infectados. Se o PC infectado for um cliente em uma rede local, como uma biblioteca ou escritório, qualquer recurso compartilhado é o alvo principal.

Para recuperar o acesso a esses recursos criptografados, os criadores do CryptoLocker exigiam um resgate de dois bitcoins, que na época eram avaliados em cerca de 715 USD. Felizmente, em 2014, o Departamento de Justiça, trabalhando com agências internacionais, conseguiu assumir o controle da botnet maliciosa e descriptografar os dados sequestrados gratuitamente. Infelizmente, o programa CryptoLocker também se espalha por ataques básicos de phishing e continua sendo uma ameaça persistente.

Chamado de "rei do malware" por Arne Schoenbohm, chefe do Escritório Alemão de Segurança da Informação, o cavalo de Troia Emotet é um exemplo primordial do que é conhecido como malware polimórfico, tornando difícil para os especialistas em segurança da informação erradicar completamente. Malware polimórfico funciona alterando ligeiramente seu próprio código toda vez que se reproduz, criando não uma cópia exata, mas uma variante igualmente perigosa. Na verdade, é mais perigoso porque trojans polimórficos são mais difíceis de serem identificados e bloqueados por programas anti-malware.

Assim como o cavalo de Troia Zeus, o Emotet persiste como um programa modular usado para entregar outras formas de malware e frequentemente é compartilhado através de ataques tradicionais de phishing.

À medida que os computadores continuam evoluindo, passando de desktops para notebooks, dispositivos móveis e uma infinidade de dispositivos conectados em rede, o malware também evolui. Com o surgimento da Internet das coisas, dispositivos IoT inteligentes apresentam uma vasta nova onda de vulnerabilidades. Criado pelo estudante universitário Paras Jha, o botnet Mirai encontrou e assumiu o controle de um grande número de câmeras de CCTV, principalmente habilitadas para IoT, com segurança fraca.

Inicialmente projetado para atacar servidores de jogos com ataques de DoS, o botnet Mirai foi ainda mais poderoso do que Jha havia previsto. Voltando seus ataques para um grande provedor de DNS, o Mirai conseguiu efetivamente isolar grandes áreas da costa leste dos Estados Unidos da internet por quase um dia inteiro.

Embora o malware já tivesse desempenhado um papel na guerra cibernética por muitos anos, 2017 foi um ano marcante para ataques cibernéticos patrocinados por estados e espionagem virtual, começando com um ransomware relativamente pouco notável chamado Petya. Embora perigoso, o ransomware Petya se espalhou por meio de phishing e não era particularmente infeccioso até ser modificado para o worm NotPetya, um programa que parecia ransomware, mas destruía dados do usuário mesmo que pagamentos de resgate fossem enviados. Nesse mesmo ano, o worm ransomware WannaCry atingiu uma série de alvos de alto perfil na Europa, particularmente no Serviço Nacional de integridade da Grã-Bretanha.

Acredita-se que o NotPetya esteja vinculado à inteligência russa, que pode ter modificado o vírus Petya para atacar a Ucrânia, e o WannaCry pode estar conectado a setores adversariais semelhantes do governo norte-coreano. O que esses dois ataques de malware têm em comum? Ambos foram possibilitados por uma falha no Microsoft Windows chamada Eternalblue, que foi descoberta pela primeira vez pela Agência de Segurança Nacional. Embora a Microsoft eventualmente tenha descoberto e corrigido a falha por conta própria, criticou a NSA por não a ter relatado antes de os hackers conseguirem explorar a vulnerabilidade.

Nos últimos anos, o malware de ransomware tanto ganhou força quanto desacelerou. Embora os casos de ataques bem-sucedidos de ransomware possam estar diminuindo, os hackers estão mirando alvos mais proeminentes e causando maiores danos. Agora, o ransomware como serviço (RaaS) é uma tendência preocupante que ganhou força nos últimos anos. Oferecido em mercados da dark web, o RaaS fornece um protocolo plug-and-play no qual hackers profissionais realizam ataques de ransomware em troca de uma taxa. Enquanto ataques de malware anteriores exigiam um certo grau de habilidade técnica avançada, grupos mercenários oferecendo RaaS capacitam qualquer pessoa com más intenções e dinheiro a gastar.

O primeiro ataque de ransomware com dupla extorsão de alto perfil ocorreu em 2019, quando hackers invadiram a agência de segurança Allied Universal, criptografando seus dados enquanto ameaçavam liberar as informações roubadas on-line. Essa camada extra significava que mesmo se a Allied Universal fosse capaz de descriptografar seus arquivos, ainda sofreria uma violação de dados prejudicial. Embora esse ataque tenha sido notável, o ataque de 2021 à Colonial Pipeline é mais notório pela gravidade da ameaça implícita. Na época, a Colonial Pipeline era responsável por 45% da gasolina e do combustível para jatos da costa leste dos Estados Unidos. O ataque, que durou vários dias, impactou tanto o setor público quanto o privado ao longo da costa leste e levou o presidente Biden a declarar um estado de emergência temporário.

Embora os ataques de ransomware possam parecer estar em declínio, ataques altamente direcionados e eficazes continuam sendo ameaças alarmantes. Em 2022, a Costa Rica sofreu uma série de ataques de ransomware, primeiro paralisando o ministério das finanças e afetando até mesmo empresas civis de importação/exportação. Um ataque subsequente então tirou o sistema de saúde do país do ar, afetando diretamente potencialmente todos os cidadãos do país. Como resultado, a Costa Rica fez história ao se tornar o primeiro país a declarar um estado de emergência nacional em resposta a um ciberataque.