O estranho legado do worm Conficker após 8 anos de seu nascimento

Há oito anos atrás, em 21 de novembro de 2008, o Conficker mostrou sua horrível cabeça. E desde então, o “worm que rugiu” (como disse o investigador da ESET, Aryeh Goretsky) se tem mantido obstinadamente ativo.

Destinado a atacar os sistemas da Microsoft Windows, há infectado computadores domésticos, corporativas e governamentais em 190 países. Os experts consideram o worm mais notável e difundido desde a aparição do Welchia, uns cinco anos antes.

O Conficker, como vamos analisar a seguir, gerou numerosas versões com diferentes métodos de ataque (desde injetar código malicioso em emails de phishing até copiar-se no setor ADMIN de uma máquina Windows). Em última instância, no entanto, o worm sempre aproveita (e de fato, segue aproveitando) uma velha vulnerabilidade não corrigida para adivinhar senhas e sequestrar equipamentos Windows com o objetivo de formar uma botnet. Em seguida, essa botnet é utilizada para distribuir spam ou instalar scareware (mais uma vez, como continua fazendo hoje em dia).

11 milhões de dispositivos

O Conficker se converteu em um dos focos mais graves de malware de todos os tempos e alcançou algumas vítimas famosas.

Foram denunciados cerca de 11 milhões de dispositivos infectados até agora, entre os que se incluem máquinas do Ministério de Defesa do Reino Unido e as Forças Armadas Unificadas da Alemanha Bundeswehr.

Aparentemente, uma infecção pelo Conficker, em 2009, custou ao Reino Unido cerca de 1,4 milhões de libras, enquanto que o jornal Ouest France informou que teve que desativar os aviões de combate franceses por causa da infecção do worm.

Tal notoriedade fez com que o Departamento de Segurança Nacional dos Estados Unidos financiasse a equipe The Conficker Working Group, na qual participam membros da ESET, CISCO, Facebook, ICANN, Microsoft e vários outros, com a finalidade de investigar seu impacto a longo prazo.

Segundo os analistas da iniciativa Cyber Secure Initiative, os custos mundiais da desinfecção do Conficker podem ter chegado aos USD 9 bilhões. Também preocupou o fato de que o worm tivesse maior impacto na infraestrutura da Internet.

“Com milhões de equipamentos sob seu controle, muitos experts em segurança especularam sobre o que os atacantes tentaram fazer”, destacou The Conficker Working Group em um artigo.

E adicionaram: “Os piores cenários foram sombrios. O worm, debidamente instruído, pode ser uma ameaça real para a estrutura crítica da Internet. Até seus usos mais benignos podem causar graves problemas no setor público ou privado”.

No entanto, estas citações correspondem ao ano de 2009. Mas, recentemente, tem se acreditado que o Conficker começou a infectar e sequestrar os novos dispositivos da IoT, incluindo máquinas de ressonância magnética, escaners de tomografia computadorizada e equipamentos de dialises conectados, de onde rouba históricos médicos, assim como câmeras da polícia incorporadas ao uniforme. O Conficker é considerado da familia de malware mais extensa, incluindo em comparação com outras persistentes como Tinba e Sality.

Na verdade, parte do êxito do Conficker tem a ver com a grande quantidade de novas variantes e de métodos melhorados de ataque. No entanto, recentemente, os analistas disseram que este malware de autorreprodução (mais uma vez, conhecido por infectar por meios USB) é capaz de mover-se lateralmente por meio de uma rede para copiar-se a alguns dispositivos, segundo as instruções específicas enviadas pelo criminoso através de seu servidor de comando e controle (C&C).

A Microsoft inclusive ofereceu uma recompensa de USD 250.000, em 2009, para quem proporcionasse informação que pudesse levar a “prisão e condenação” de qualquer pessoa declarada culpada por “lançar ilegalmente o código malicioso Conficker na Internet”. É uma recompensa que aparentemente nunca pagaram.

“As pessoas que criaram este malware devem ser condenadas”, disse George Stathakopulos (naquele momento), do grupo Trustworthy Computing Group de Microsoft.

E como vamos explicar a seguir, parece que Conficker se transformou em um animal muito grande para que qualquer ciberdelinquente realmente possa fazer uso dela.

Os ataques vão mudando com o passar do tempo

Es probable que el éxito de Conficker se deba en gran parte al viejo problema de la gestión de parches.  Aprovechó una vulnerabilidad de Microsoft Windows (MS08-67), para la cual el gigante de software de Redmond ya había lanzado un parche 29 días antes de que Conficker comenzara a propagarse.

É provável que o êxito do Conficker se deva em grande parte ao velho problema da gestão de patches. Aproveitou uma vulnerabilidade da Microsoft Windows (MS08-67), para a qual o gigante de software de Redmond já havia lançado um patche 29 dias antes que Conficker começasse a se propagar.

O Conficker, como foi mencionado anteriormente, também mudou de rumo várias vezes. Passou de um worm que funcionava “sem cabeça” (ou seja, sem um servidor de C&C) e que costuma se propagar por meio de redes compartilhadas e memórias USB, e transformou-se em variantes mais modernas que se movem lateralmente através das redes, identificando os dispositivos fracos e vulneráveis.

“A maioria dos malware que vemos hoje m dia não continua se propagando por seus próprios meios como o worm Conficker”, disse o analista independente de segurança Graham Cluley no fim do ano passado.

Segundo Cluley, “os cibercriminosos de hoje criam trojans projetados para não chamar a atenção. As vezes inclusive só os enviam a uma pequena lista de alvos específicos para melhorar suas possibilidades de infectar sistemas sem serem detectados e dar aos atacantes o acesso a seus arquivos e comunicações”.

Na atualidade, qualquer bom antivírus deve ser capaz de detectar e eliminar o worm; o único problema é a natureza de autopropagação do Conficker, que faz com que os equipamentos já infectados continuem infectando outros PCs que não tenham nenhum software antivírus.

O que aconteceu com os cibercriminosos?

Curiosamente, pouca coisa aconteceu com estes ataques. O investigador sênior da ESET David Harley observou que “parece que não se fez nada” com os inúmeros equipamentos infectados.

Se pregunta se o malware e a botnet conseguiram atrair a atenção dos meios de comunicação: “talvez o bando simplesmente determinou que a indústria da segurança estava vigiando com muita proximidade à botnet para poder conseguir algo”.

O Goretsky pensa o mesmo e ainda inclui: “Ao estar em plena vista dos investigadores antimalware de todo o mundo, que informavam cada um de seus movimentos, era difícil para os cibercriminosos por trás do Conficker fazer qualquer coisa para monetizar seu worm”.

Según el investigador, “eran como ladrones que anunciaban que iban a robar un banco. No cabe duda de que la policía va a responder a ese tipo de casos. Llamó demasiado la atención sobre sí mismo, y eso es lo que finalmente lo llevó a su fracaso, al menos en términos de utilizarse como una herramienta para cometer más delitos cibernéticos”.

Segundo o investigador, “eram como ladrões que anunciavam que iam roubar um banco. Não há dúvidas de que a polícia irá responder a esse tipo de caso. Chamou muita a atenção sobre si mesmo, e isso é o que finalmente o levou a seu fracasso, pelo menos em termos de utilizar-se como uma ferramenta para cometer mais crimes cibernéticos.

Atualmente, o Conficker e seus operadores permanecem na escuridão. O grupo criminoso que operava o worm parece ter abandonado suas atividades até o final de 2009. No entanto, aqui estamos, em 2016, ainda lutando com um worm que parece ter sido abandonado a sua própria sorte.

Embora em muitos sentidos o Conficker continue sendo um mistério, é um exemplo vivo da ciberdelinquencia e do panorama de ameaças em constante evolução.

Autor: Editor, da ESET.

Adaptação: Francisco de Assis Camurça, da ESET.