O ataque informático que está a afetar empresas em Portugal e Espanha e hospitais britânicos terá tido origem no Brasil, afirmou o coordenador do Centro Nacional de Cibersegurança, Pedro Veiga, ao Observador — embora tenha deixado claro que é muito difícil saber exatamente qual a proveniência deste tipo de ataques. A Rússia pode ser outra das hipóteses.

Neste tipo de ataques é muito difícil encontrar a origem. Lembre-se, por exemplo, quando foi a campanha eleitoral nos Estados Unidos e houve um ataque aos sistemas de Hillary Clinton. Sempre disseram que viria da Rússia, mas sem certezas”, referiu Pedro Veiga, acrescentando que os hackers “podem mascarar a sua origem”.

E esta dificuldade prende-se com o facto de muitas empresas funcionarem através de uma VPN (virtual private network) — uma rede interna segura usada pelos trabalhadores. Ou seja, “o que eles [hackers] podem fazer é furar uma rede VPN no Brasil, estando localizados nos Estados Unidos, mas o endereço que se recebe parece ser do Brasil. É uma maneira de ocultar a origem do ataque”, exemplificou o especialista para explicar a dificuldade de perceber qual a origem exata do ataque e até se é mais do que uma. Há órgãos de comunicação internacionais a referirem origem chinesa. E fala-se também da Rússia.

O coordenador da cibersegurança em Portugal frisou que este tipo de ataque — “ransomware” — tem vindo a ganhar grande expressão sobretudo no último ano e acrescentou que os sistemas de saúde “têm sido tipicamente os mais afetados em todo o mundo porque estão dispostos a pagar. Nos Estados Unidos tem sido assustador desde o início do ano passado”. Estão em causa resgates de dezenas de milhares de dólares.

Além dos sistemas de saúde, têm sido também atacadas pequenas empresas e, “há cerca de três semanas, começaram a ser divulgados ataques ramsonware por mensagem para telemóveis particulares, com links, que lhes cifra o conteúdo do telemóvel”. Em troca são exigidos quatro ou cinco bitcoins (mais de 1.000 euros).

Embora estejam ainda a avaliar a situação, os serviços de segurança já conseguiram perceber que o presente ataque “é maior que os anteriores, quer em abrangência geográfica, quer em leque de empresas atacadas”, avançou Pedro Veiga, sem as listar. Entretanto a CNN dá conta de mais 45 mil ataques, em 74 países, nas últimas 10 horas, com base em informações da Kaspersky Lab.

O ransomware é um tipo de software malicioso que é introduzido no computador, regra geral através de um e-mail que o utilizador abre (com um anexo ou um link) e que cifra o conteúdo do sistema de ficheiros do computador. No fim aparece uma mensagem a pedir o pagamento de um resgate (ransom), regra geral em bitcoins.

O que normalmente acontece é que esse e-mail é enviado para a organização em causa, um trabalhador abre e infeta o seu computador — e, se está em rede, propaga-se pelos sistemas da organização, explicou Pedro Veiga.

Pagar resgate não garante recuperação da informação

O objetivo destes hackers é pedirem um resgate, mas os especialistas em cibersegurança desencorajam indivíduos particulares e empresas a pagar as quantias requeridas, “uma vez que não garantem que os documentos sejam disponibilizados”.

Ao Observador, Andreia Teixeira, da Aon, também sublinhou que “é recomendável que não se pague o resgate” porque “pagar o resgate não é salvaguardar informação”. “O hacker continua a ficar com informação que é confidencial.”

Ao invés disso, “o que se deve fazer é ter um perito , um informático forense que resolva o problema de raiz. Quando se paga o resgate não se resolve problema nenhum. A ideia base é de facto a prevenção”.

Já João Barreto, da S21sec, diz que depende do caso. “Imaginemos que não tem backups e que não tem maneira de recuperar a informação, inevitavelmente vai ter de pagar. Mas pagar é sempre dar uma luz verde ao criminoso para continuar a fazer isto.”

Fazer cópias de segurança regulares e não abrir e-mails de origem desconhecida

Pedro Veiga aproveita para referir as boas práticas que devem ser seguidas por qualquer pessoa ou empresa: “Fazer cópias de segurança frequentes dos sistemas e, se houver um ataque, repor o backup que está limpo”.

Para evitar o ataque basta “não abrir os e-mails afetados”. Como? “Quando recebemos um e-mail, olhamos para a origem e, se não confiamos, nem devemos abrir. Devemos apagar logo”.

O backup regular de dados e um plano de recuperação para todas as informações críticas é apenas uma das medidas para prevenir este tipo de ataques. De acordo com a Computer Security Incident Response Team (CSIRT eSIS), entre as medidas preventivas para proteger as redes de computadores do ransomware encontram-se também a utilização da aplicação whitelisting para que apenas os programas especificados sejam executados, bloqueando todos os outros, incluindo softwares maliciosos. Manter o seu sistema operacional e os softwares atualizados com os patches mais recentes, manter o software de antivírus atualizado e fazer um scan de todo o software transferido da Internet antes da sua execução, assim como restringir a capacidade dos utilizadores para instalar e executar aplicações de software indesejadas e aplicar o princípio de “Privilégio mínimo” a todos os sistemas e serviços são outras das medidas aconselhadas.