Tem acesso livre a todos os artigos do Observador por ser nosso assinante.

O ataque informático que está a afetar empresas em Portugal e Espanha e hospitais britânicos terá tido origem no Brasil, afirmou o coordenador do Centro Nacional de Cibersegurança, Pedro Veiga, ao Observador — embora tenha deixado claro que é muito difícil saber exatamente qual a proveniência deste tipo de ataques. A Rússia pode ser outra das hipóteses.

Neste tipo de ataques é muito difícil encontrar a origem. Lembre-se, por exemplo, quando foi a campanha eleitoral nos Estados Unidos e houve um ataque aos sistemas de Hillary Clinton. Sempre disseram que viria da Rússia, mas sem certezas”, referiu Pedro Veiga, acrescentando que os hackers “podem mascarar a sua origem”.

E esta dificuldade prende-se com o facto de muitas empresas funcionarem através de uma VPN (virtual private network) — uma rede interna segura usada pelos trabalhadores. Ou seja, “o que eles [hackers] podem fazer é furar uma rede VPN no Brasil, estando localizados nos Estados Unidos, mas o endereço que se recebe parece ser do Brasil. É uma maneira de ocultar a origem do ataque”, exemplificou o especialista para explicar a dificuldade de perceber qual a origem exata do ataque e até se é mais do que uma. Há órgãos de comunicação internacionais a referirem origem chinesa. E fala-se também da Rússia.

O coordenador da cibersegurança em Portugal frisou que este tipo de ataque — “ransomware” — tem vindo a ganhar grande expressão sobretudo no último ano e acrescentou que os sistemas de saúde “têm sido tipicamente os mais afetados em todo o mundo porque estão dispostos a pagar. Nos Estados Unidos tem sido assustador desde o início do ano passado”. Estão em causa resgates de dezenas de milhares de dólares.

PUB • CONTINUE A LER A SEGUIR

Além dos sistemas de saúde, têm sido também atacadas pequenas empresas e, “há cerca de três semanas, começaram a ser divulgados ataques ramsonware por mensagem para telemóveis particulares, com links, que lhes cifra o conteúdo do telemóvel”. Em troca são exigidos quatro ou cinco bitcoins (mais de 1.000 euros).

Embora estejam ainda a avaliar a situação, os serviços de segurança já conseguiram perceber que o presente ataque “é maior que os anteriores, quer em abrangência geográfica, quer em leque de empresas atacadas”, avançou Pedro Veiga, sem as listar. Entretanto a CNN dá conta de mais 45 mil ataques, em 74 países, nas últimas 10 horas, com base em informações da Kaspersky Lab.

O ransomware é um tipo de software malicioso que é introduzido no computador, regra geral através de um e-mail que o utilizador abre (com um anexo ou um link) e que cifra o conteúdo do sistema de ficheiros do computador. No fim aparece uma mensagem a pedir o pagamento de um resgate (ransom), regra geral em bitcoins.

O que normalmente acontece é que esse e-mail é enviado para a organização em causa, um trabalhador abre e infeta o seu computador — e, se está em rede, propaga-se pelos sistemas da organização, explicou Pedro Veiga.

Pagar resgate não garante recuperação da informação

O objetivo destes hackers é pedirem um resgate, mas os especialistas em cibersegurança desencorajam indivíduos particulares e empresas a pagar as quantias requeridas, “uma vez que não garantem que os documentos sejam disponibilizados”.

Ao Observador, Andreia Teixeira, da Aon, também sublinhou que “é recomendável que não se pague o resgate” porque “pagar o resgate não é salvaguardar informação”. “O hacker continua a ficar com informação que é confidencial.”

Ao invés disso, “o que se deve fazer é ter um perito , um informático forense que resolva o problema de raiz. Quando se paga o resgate não se resolve problema nenhum. A ideia base é de facto a prevenção”.

Já João Barreto, da S21sec, diz que depende do caso. “Imaginemos que não tem backups e que não tem maneira de recuperar a informação, inevitavelmente vai ter de pagar. Mas pagar é sempre dar uma luz verde ao criminoso para continuar a fazer isto.”

Fazer cópias de segurança regulares e não abrir e-mails de origem desconhecida

Pedro Veiga aproveita para referir as boas práticas que devem ser seguidas por qualquer pessoa ou empresa: “Fazer cópias de segurança frequentes dos sistemas e, se houver um ataque, repor o backup que está limpo”.

Para evitar o ataque basta “não abrir os e-mails afetados”. Como? “Quando recebemos um e-mail, olhamos para a origem e, se não confiamos, nem devemos abrir. Devemos apagar logo”.

O backup regular de dados e um plano de recuperação para todas as informações críticas é apenas uma das medidas para prevenir este tipo de ataques. De acordo com a Computer Security Incident Response Team (CSIRT eSIS), entre as medidas preventivas para proteger as redes de computadores do ransomware encontram-se também a utilização da aplicação whitelisting para que apenas os programas especificados sejam executados, bloqueando todos os outros, incluindo softwares maliciosos. Manter o seu sistema operacional e os softwares atualizados com os patches mais recentes, manter o software de antivírus atualizado e fazer um scan de todo o software transferido da Internet antes da sua execução, assim como restringir a capacidade dos utilizadores para instalar e executar aplicações de software indesejadas e aplicar o princípio de “Privilégio mínimo” a todos os sistemas e serviços são outras das medidas aconselhadas.