Cidade de Norfolk atacada por malware

Um código nocivo de origem desconhecida conseguiu penetrar num servidor de impressão virtual interno e atacar perto de 800 computadores utilizados pela câmara municipal da cidade de Norfolk, na Virgínia, Estados Unidos, durante a semana passada.

O código terá aparentemente sido activado quando os funcionários da câmara desligaram os seus computadores, conforme conta Hap Cluff, director de TI do município de Norfolk. “A acção de logging off acabou por ser o gatilho do malware”, descreve. ”
O código praticamente limpou as drives C dos 784 computadores afectados e conseguiu apagar o sistema operativo Windows nelas instalado. O conteúdo das pastas de sistema dessas máquinas, que normalmente ocupa cerca de 1,5GB em disco, diminuiu para os 500 MB, de acordo com o mesmo responsável.
Hap Cluff acredita que o malware era uma espécie de “bomba relógio”, tendo sido introduzido há meses, mas programado para ser activado numa data específica. “Sabe-se lá há quanto tempo não estaria já este código nos nossos sistemas”, refere.
A equipa de Hap Cluff reparou que os computadores estavam a demorar mais tempo do que o normal a serem desligados, por volta das 16:30 do dia 9 de Fevereiro, sendo também impossível reiniciá-los. Depois de alguma análise, a equipa de TI descobriu que um servidor de impressão virtual estava a injectar código nocivo. De imediato, colocaram o servidor virtual em modo offline, restaurando as definições anteriores do seu software.
Como era a sua única forma de propagação, assim que o servidor virtual foi posto offline, o malware deixou de ser distribuído. “Nunca conseguiu passar para outro dispositivo que não este servidor de impressão virtual e tudo o que fez foi apagar o Windows das máquinas”, conta Hap Cluff.
Os ataques que se limitam a destruir os computadores já são raros hoje em dia, de acordo com Andre DiMino, co-fundador do grupo de monitorização de malware Shadowserver Foundation. “Há alguns anos atrás, o malware era muito mais destrutivo e capaz de apagar por completo o disco rígido dos computadores que atacava, bem como danificar o seu sector de arranque”. Por isso mesmo, este ataque agora ocorrido na cidade de Norfolk “faz lembrar esses dias”.
Os únicos computadores que acabaram por ser afectados neste ataque foram os que foram desligados durante um intervalo de tempo específico, após o qual a equipa técnica detectou o problema e identificou a sua origem, desligando o servidor.
Mas o código malicioso também afectou 11 servidores da câmara, tendo sido também activado quando os engenheiros que os utilizavam nesse dia os desligaram.
Uma vez que a equipa técnica limpou o servidor de impressão virtual que estava a ser usado para disseminar o malware, não é possível saber muito mais acerca do código malicioso ou da sua verdadeira origem. “Normalmente, quando se detecta algo deste género, a primeira coisa a fazer é impedir que continue a acontecer. Nesse momento, não estamos propriamente preocupados em fazer o retrato do malware. Mas agora talvez esteja na altura de mudar esta abordagem”, sustenta Hap Cluffr.




Deixe um comentário

O seu email não será publicado