Recentemente, um apagão cibernético sem precedentes afetou sistemas de TI em todo o mundo, paralisando setores importantes da economia global e revelando a vulnerabilidade das infraestruturas digitais modernas. A falha foi atribuída a uma atualização defeituosa do software de segurança cibernética da empresa norte-americana CrowdStrike, que resultou em uma interrupção massiva em computadores com o sistema operacional Microsoft Windows.

“A origem do problema foi uma atualização de um arquivo de configuração com conteúdo defeituoso relacionado ao CrowdStrike Falcon, a solução de XDR (Extended Detection and Response) da empresa, que causou a temida ‘tela azul da morte’ em servidores e estações de trabalho rodando Windows. O resultado foi a incapacidade de inicializar corretamente os sistemas afetados, exigindo a exclusão manual do arquivo defeituoso (C-00000291*.sys) em Modo de Segurança. No entanto, a maioria dos usuários corporativos não possui os direitos de acesso necessários para realizar essa correção, necessitando de intervenção manual dos times de suporte, que ficaram sobrecarregados”, explica Anchises Moraes, líder de inteligência em ameaças da Apura Cyber Intelligence.

Como o apagão teve uma origem duvidosa e acabou se tornando um prato cheio para os cibercriminosos, que sempre estão em busca de brechas para realizar e engendrar ataques, a Apura optou por lançar uma nota sobre o ocorrido e aproveitar essa “infelicidade cibernética” para avaliar os danos imediatos decorrentes desse apagão.

Segundo Moraes, os efeitos do apagão foram devastadores. Empresas da Fortune 500, bancos, aeroportos, companhias aéreas, veículos de mídia e hospitais foram afetados e ganharam muito destaque na imprensa, pois a CrowdStrike é um grande player do mercado de segurança cibernética e está presente em sistemas de TI de grandes empresas no mundo todo.

Na Austrália, empresas como Woolworths, ANZ, Visa, Netflix e Vodafone relataram problemas. Tribunais no país foram forçados a fechar mais cedo devido à indisponibilidade total de seus sistemas. Nos Estados Unidos, grandes companhias aéreas como Delta Airlines, United Airlines e American Airlines foram impedidas de realizar decolagens. No Reino Unido, a operadora ferroviária Thameslink enfrentou cancelamentos e a emissora de TV Sky News ficou temporariamente fora do ar, exibindo conteúdo pré-gravado. Para piorar, houve uma confusão adicional devido a uma interrupção simultânea no serviço de nuvem Microsoft Azure nos EUA, levando alguns meios de comunicação a misturar os dois incidentes. No Brasil, algumas empresas também foram impactadas, como bancos, empresas aéreas e hospitais, entre outros.

“A atualização problemática da Crowdstrike foi liberada às 04h09 UTC do dia 19/08 (07h09 no horário de Brasília) até ser corrigida às 05h27 UTC (08h27 no Brasil), mas nesse pequeno intervalo de tempo mais de 8,5 milhões de computadores foram afetados, segundo estimativas da Microsoft”, destaca Moraes.

Em declaração oficial, George Kurtz, presidente e CEO da CrowdStrike, esclareceu que o problema não era decorrente de um incidente cibernético, mas sim um defeito na atualização de conteúdo da plataforma Falcon Sensor. Mesmo assim, o alerta para possíveis danos causados pela falha chamou a atenção dos especialistas para identificar onde poderiam ocorrer ataques, ainda mais pelo fato de a CrowdStrike ser uma empresa de cibersegurança.

A crise também foi aproveitada por criminosos para aplicar golpes na internet. Nos Estados Unidos, a Agência de Defesa Cibernética (CISA) alertou sobre a proliferação de campanhas de phishing e outras atividades maliciosas, onde agentes de ameaça tentam coletar dados confidenciais de usuários impactados pelo apagão. “Nosso time de pesquisadores já identificou a criação de mais de 100 domínios com nomes associados ao apagão, criados nesses últimos dias com objetivo malicioso”, conta Moraes. Entre os golpes direcionados a clientes em todo o mundo, inclusive no Brasil, os criminosos estão oferecendo ferramentas e scripts maliciosos para, supostamente, resolver os problemas causados pelo apagão, além de orientações erradas e pedidos de doações em troca do compartilhamento de dicas.

O que NÃO fazer

O expert da Apura explica por que o phishing foi uma das táticas mais identificadas. Com o desespero pela queda do sistema, o caos acaba sendo instaurado, e isso se torna um terreno fértil para pessoas aceitarem informações infundadas, ou até mesmo, receberem e-mails com passo a passo para restaurar o sistema. Com a guarda mais baixa, a chance de sucesso de um cibercriminoso por trás do ataque de phishing se torna maior.

“Recomendamos que as organizações lembrem seus funcionários a evitar clicar em e-mails de phishing ou links suspeitos. Para as empresas, procurem os canais oficiais da Crowdstrike e da Microsoft. A implementação de medidas emergenciais para bloquear essas ameaças não pode ficar relegada apenas a situações de crise, mas é de extrema importância sempre estarem alinhadas com o que há de mais moderno em termos de cibersegurança”, ressalta Moraes. “Este incidente é um alerta para a necessidade de maior redundância, diversificação e preparo dos times de resposta a incidentes para lidar com falhas tecnológicas em um mundo cada vez mais digitalmente interconectado”.