Relatos surgiram no início desta semana afirmando que o chefe da polícia de cibercrimes da Ucrânia está estudando a possibilidade de acusações criminais contra a empresa ucraniana responsável pelo software de impostos que foi a primeira vítima do ataque do malware NotPetya, abrindo as portas para a rápida disseminação. Agora, foi descoberto que os servidores da empresa foram apreendidos pelas autoridades.

Na semana passada, um malware começou a ser espalhado pelo mundo. Inicialmente, se pensava que era um ransomware, mas já é sabido que se trata de um wiper – vírus que deleta os arquivos. Pesquisadores traçaram as origens do malware que ficou conhecido como NotPetya a um software chamado MeDoc. Ele é o programa mais popular para preparação de impostos e uma de apenas duas opções autorizadas oficialmente pelo governo ucraniano. Embora ninguém tenha acusado a empresa de espalhar intencionalmente o vírus, acredita-se que ele começou a se disseminar por meio de uma atualização do MeDoc. Foi uma estratégia muito efetiva, já que é época de declarações de impostos na Ucrânia.

Na terça-feira, autoridades foram até a empresa e apreenderam os servidores para continuar investigando os ataques. A polícia acredita que a opção foi planejada durante meses, e a empresa de segurança ESET determinou que uma brecha foi colocada nas atualizações da MeDoc. O pesquisador da ESET Anton Cherepanov diz que é provável que os hackers responsáveis tivessem acesso ao código-fonte do software. O relatório divulgado traça a primeira inclusão de um backdoor no dia 14 de abril.

O coronel Serhiy Demydiuk, chefe da unidade da polícia cibernética da Ucrânia, não acusou ninguém da MeDoc de estar envolvido no ataque. Ele disse que a empresa foi alertada múltiplas vezes sobre as potenciais vulnerabilidades de segurança nos sistemas. “Eles sabiam disso”, contou Demydiuk à Associated Press. “Eles foram avisados muitas vezes por diversas empresas de antivírus […] Por essa negligência, as pessoas envolvidas no caso irão enfrentar imputabilidade penal.”

A família que fundou a MeDoc negou quaisquer delitos. “Estudamos e analisamos nosso produto por sinais de invasão – ele não está infectado com um vírus e está tudo bem, ele é seguro”, disse Olesya Linnik, um dos desenvolvedores do software, à Associated Press. “O pacote de atualização, que foi enviado muito antes de que o vírus se espalhasse, foi checado 100 vezes e estava tudo bem.”

O analista de segurança independente Jonathan Nichols confirmou nesta segunda-feira que encontrou diversas vulnerabilidades conhecidas publicamente nos servidores de atualização do MeDoc. Ele não testou as vulnerabilidades por medo de cometer um crime. Ele concluiu que o ataque poderia ter sido executo por um indivíduo um ou grupo que não era tão habilidoso. Esse é um ponto importante, porque a OTAN disse publicamente que sua pesquisa aponta que algum Estado foi o responsável. A inteligência ucraniana acusou os serviços de segurança da Rússia de planejar a operação. O Kremlin negou as acusações.

Enquanto isso, empresas vítimas começaram a se recuperar do ataque, e a OTAN trouxe novos equipamentos para ajudar a Ucrânia a se defender de futuros ciberataques. 8% das companhias da Ucrânia utilizam o software MeDoc, e o parlamento do país está trabalhando na prorrogação do prazo final da submissão da declaração de impostos.