O nome é uma referência ao tardígrado, um bichinho quase microscópico que vive em meio ao musgo e pode sobreviver a calor, pressão, congelamento, desidratação, radiação e até ao vácuo do espaço. Pesquisadores que descobriram a ameaça resolveram chamar de Tardigrade o malware que parece ser exatamente isso: indestrutível.
Inicialmente, o que atingiu a empresa de biotecnologia BioBright esta ano parecia só um ataque de ransomware comum. Os criminosos exigiram resgate, mas não pareceram especialmente interessados em receber, e cessaram o contato após um breve período.
Logo, a esquipe de cibersegurança da empresa descobriu que o malware instalado pelos criminosos foi muito além de criptografar e travar computadores, como a os ransomwares fazem. Ele continuou a agir sem conexão com seus criadores.
O Tardigrade é um malware criado para atuar inicialmente por phishing, mandando e-mails e outras mensagens com links contaminados. Mas, conforme o ambiente em que se encontra, e sem intervenção, ele pode atuar de outras formas. Entre as descobertas, ele pode se multiplicar usando de pen drives, como um vírus tradicional, ou migrando por redes interconectadas.
Não funcionando apenas como um ransomware, criptografando máquinas, mas também é capaz de roubar senhas, instalar um backdoor, que permite a invasão por hackers, e um keylogger, que espiona as ações do usuário.
Tardigrade se metamorfoseia para enganar sistemas contra malware
Além disso, ele muda sua forma e se recompila, para evitar detecção. “Esse malware é projetado para se reconstruir diferentemente em ambientes diferentes, de forma que sua assinatura está mudando o tempo todo e é difícil de detectar”, afirmou a analista de malware da BioBright Callie Churchwell, à Wired. “Eu testei ele mais de 100 vezes e cada uma delas ele se construía de uma forma diferente e se comunicava de forma diferente. Além disso, se não é capaz de se comunicar com o servidor de comando e controle [isto é, o de seus criadores], ele tem a capacidade de ser mais autônomo e agir sozinho, o que foi completamente inesperado.”
É tanta coisa que a equipe de segurança da BioBright desconfia de algo bem maior que um ransomware por vil metal. Segundo o CEO da Empresa, Charles Fraccia, provavelmente é uma ação orquestrada por Estados. E seus suspeitos são os habituais: China e Rússia.
“Isso quase com certeza começou como espionagem, mas foi um ataque à tudo – disrupção, destruição, espionagem, todas as alternativas”, afirmou o CEO à Wired. “É de longe o malware mais sofisticado que já encontramos neste espaço. Isso é assustadoramente semelhante a outros ataques e campanhas de APT [ameaça persistente avançada] feitos por Estados-Nação mirando outras indústrias.”
O suposto ataque ransomware sem resgate foi, acreditam, só uma distração par ao que o Tardigrade poderia fazer como o malware mais completo.
Agora, por que essas indústrias se tornaram alvos. Por conta da pandemia, empresas de biotecnologia, desenvolvendo vacinas e medicamentos, se tornaram particularmente visadas. Elas são repositórios de segredos industriais que são literalmente vitais a qualquer país que não queira (ou possa) pagar bilhões a essas empresas.
Fonte: Olhar Digital