Entre setembro de 2013 e junho de 2014, um vírus conhecido como CryptoLocker infectado ao redor 500.000 computadores em todo o mundo. Projetado para bloquear dados no computador de uma vítima e mantê-los como resgate, acabou extorquindo cerca de US$ 3 milhões de vítimas que concordaram em pagar em vez de perder seus arquivos.
Entre as vítimas do Cryptolocker estavam dois computadores da NASA, de acordo com um documento interno obtido pela placa-mãe.
o ransomware vírus infectou um computador no Centro de Pesquisa Ames da NASA, na Califórnia, em 23 de outubro de 2013, 'resultando na perda de acesso aos dados da NASA', segundo o documento. Ele também atingiu outro computador no centro de visitantes do Kennedy Space Center, na Flórida, dois dias depois.
O documento foi preparado pelo Escritório do Inspetor-Geral da NASA e é escasso em detalhes. Mas uma fonte com conhecimento dos incidentes, que falou sob condição de anonimato, disse que os dois computadores eram laptops com backup completo. Essa é uma prática padrão na NASA, onde “95% dos dados são SBU [sensíveis, mas não classificados] e tudo é copiado em triplicado”, disse a fonte ao Motherboard.
A infecção CrytpoLocker no Ames Research Center causou uma 'perda de acesso aos dados'.
No entanto, como o documento dizia, a infecção no Ames Research Center causou uma 'perda de acesso aos dados', embora a extensão da perda não seja clara, e é possível que a NASA tenha conseguido recuperar alguns dados de um backup. . De qualquer forma, como observou a fonte, a NASA nunca concordou em pagar o resgate quando infectada por esse tipo de malware.
A NASA não respondeu ao pedido de comentário da Motherboard antes da publicação.
No primeiro caso, a vítima provavelmente era Srba Jovic, um cientista de pesquisa que trabalha no centro de pesquisa Ames, de acordo com seu Perfil do linkedIn .
Embora o nome da vítima seja redigido, o documento revelou a localização do arquivo que gerou a infecção pelo Cryptolocker, mostrando que ele foi encontrado em uma pasta de usuário chamada 'sjovic'. (Jovic não respondeu ao pedido de comentário da Motherboard.)
Tim McGuffin, oficial de segurança da informação da Sam Houston State University, no Texas, que analisou o CrytoLocker no passado, disse que os dois incidentes pareciam ser infecções padrão do CryptoLocker e que a NASA parecia ter respondido corretamente.
'Isso pode acontecer', já que o CrytpoLocker é 'muito difícil de se defender', disse McGuffin ao Motherboard.
No segundo caso, o computador infectado estava conectado a uma rede da NASA e, portanto, tinha um endereço IP da NASA, segundo o documento. Mas na verdade era administrado e de propriedade da Delaware North Companies Parks and Resorts (DNCPR). Considerando isso, o risco de perda de dados importantes foi provavelmente menor. O DNCPR removeu o computador do sistema, limpou-o e o devolveu ao serviço, de acordo com o documento.
'É praticamente um problema porque era apenas uma máquina do centro de visitantes, provavelmente usada para agendamento', disse McGuffin, que revisou o documento da Motherboard.
Embora a extensão exata do dano nesses dois casos não seja clara, o CrytoLocker não foi programado para se espalhar como um worm para outros computadores na rede, portanto, não deveria ter infectado outros computadores, de acordo com McGuffin.
De qualquer forma, parece que nada saiu da investigação do Inspetor Geral sobre essas duas infecções pelo CryptoLocker.
Em 21 de fevereiro de 2014, de acordo com o documento, alguém da NASA (os detalhes estão redigidos) se reuniu com um funcionário do Escritório do Inspetor Geral de Saúde e Serviços Humanos (HHS), membro da força-tarefa que na época estava investigando casos do CryptoLocker nos EUA.
A pessoa do HHS revelou na reunião que 'como resultado do CryptoLocker', sua agência sofreu '20 a 25 incidentes'.
Os Serviços de Saúde e Humanos (HSS) sofreram de 20 a 25 'incidentes em toda a agência como resultado do CryptoLocker'.
'Mas ficou claro que ele seria incapaz de resolvê-los neste momento', escreveu a NASA, e é por isso que ele encerrou o caso e sugeriu que a NASA fizesse o mesmo.
O documento concluiu com uma recomendação para encerrar a investigação sobre os dois incidentes, dado o 'baixo custo geral dos danos' sofridos pela NASA por causa das duas infecções pelo CryptoLocker.
Alguns meses depois, no início de junho de 2014, uma coalizão internacional de agências de aplicação da lei derrubou o botnet que foi usado para espalhar o CrytoLocker. Eles apreenderam computadores e servidores que atuavam como hubs de comando e controle para o malware. Apelidada de 'Operação Tovar', foi o fim do vírus CrytoLocker.
Uma cópia do documento original está incorporada abaixo.
Documento do Escritório do Inspetor Geral da NASA no CryptoLocker
Jason Koebler contribuiu com reportagem para esta história.