O quanto alertas de vulnerabilidades podem ajudar hackers?

O recente ataque ao Colonial Pipeline, responsável por fornecer combustível à costa leste dos Estados Unidos, deu espaço nas manchetes de maio ao grupo DarkSide, que se tornou conhecido por comprometer infraestruturas de TI de grandes empresas e posteriormente pedir resgates para restabelecer a continuidade das operações. No caso da Colonial Pipeline, o CEO da companhia confirmou ao Wall Street Journal que foram pagos ao DarkSide US$ 4,4 milhões em bitcoins por uma chave de descriptografia que permitiria restaurar os dados.

No entanto, a história tem um capítulo anterior que remonta ao mês de janeiro. No início do ano, a empresa de cibersegurança Bitdefender divulgou uma ferramenta de descriptografia que exploraria uma falha no ransomware usado pelo Darkside para dar de volta às vítimas o controle sobre os dados criptografados. Segundo a MIT Technology Review, a falha envolvia a utilização das mesmas chaves digitais para criptografar e descriptografar dados de várias vítimas. Resultado: no dia seguinte, o DarkSide declarou que havia reparado o sua própria vulnerabilidade.

Acontece que a Bitdefender não foi a primeira a identificar o ponto fraco do DarkSide. Dois outros pesquisadores ouvidos pela MIT Technology Review, Fabian Wosar e Michael Gillespie, começaram a procurar vítimas para ajudá-las sem alardes. Ambos pertencem a um grupo mundial de voluntários dos Estados Unidos, Espanha, Itália, Alemanha, Hungria e Reino Unido chamado Ransomware Hunting Team, que afirma já ter quebrado mais de 300 tipos de ransomware.

A questão é que a visão de grupos como esse e de empresas de cibersegurança nem sempre é convergente. Os dois lados buscam oferecer uma solução ao maior número de vítimas de ataques ransomware, mas talvez de modos diferentes: um chamando a atenção para o problema e promovendo suas ferramentas; o outro trabalhando com discrição, divulgando ações em fóruns de suporte e por  meio de anúncios sobre onde encontrar ajuda, evitando descrever como as ferramentas funcionam assim como as vulnerabilidades encontradas.

A Bitdefender reconhece que o DarkSide foi capaz corrigir a falha após a divulgação da ferramenta de descriptografia, mas argumenta que o grupo teria detectado seu problema de qualquer maneira. Também diz que não acredita em ferramentas de combate ao ransomware oferecidas de forma discreta, pois os cibercriminosos podem participar desses fóruns de ajuda ou se passar por usuários domésticos ou empresas em apuros, enquanto a grande maioria das vítimas não terá a mínima ideia de que podem ter seus dados de volta sem pagar nenhum resgate.

Quem está certo? Você decide.