O vírus responsável pelo mega ataque informático desta terça-feira não deverá ser o Petya, como estava a ser noticiado, esclarecem em comunicado os especialistas da Kaspersky Lab. Trata-se de um software malicioso nunca antes visto, que recorre ao mesmo modus operandi utilizado pelo WannaCry no ataque do passado mês de maio. Ou seja, recorre a vulnerabilidades que existem no sistema operativo Windows. Esta terça-feira, o vírus já fez mais de dois mil ataques, sendo os países mais afetados a Rússia e a Ucrânia. Empresas no Reino Unido, Estados Unidos, Alemanha, França, Itália, Polónia também foram alvo destes piratas.
O ataque foi travado pela Kaspersky Lab “com sucesso”, através do System Watcher. Este componente protege os sistemas contra ataques como o de esta terça-feira monitorizando mudanças dos sistemas e fazendo recuar ações potencialmente destrutivas, explicaram os especialistas.
O Observador sabe que foi ordenado aos colaboradores de algumas das agências portuguesas do grupo de comunicação WPP para desligarem os computadores e os dados móveis dos smartphones, embora fonte oficial do grupo não confirme a informação. Também a Microsoft Portugal se recusou a prestar, para já, quaisquer declarações.
Receando o mesmo impacto do WannaCry no passado mês de maio, que afetou os sistemas informáticos de várias entidades públicas em Portugal, incluindo hospitais, o presidente do Conselho de Administração dos Serviços Partilhados do Ministério da Saúde avança ao Observador que, apesar de não haver registos de ataque até agora, os serviços de e-mail e internet do SNS vão ser desligados a partir das 18h30 por precaução. Nova reavaliação será feita às 21h30.
“Estivemos em contacto com o centro nacional de cibersegurança e não temos nenhum report de situação por parte de nenhum hospital. De qualquer das formas já tínhamos um plano e tomámos a decisão de desligar o email e internet a partir das 18h30”, diz Henrique Martins ao Observador, explicando que se trata apenas de “uma medida cautelar”. No ataque de maio houve períodos em que as receitas não estiveram disponíveis em todos os softwares, mas Henrique Martins acredita que desta vez não deverá haver impacto nas prescrições nem prejuízo para os utentes.
“Acredito que estejamos a ser zelosos de mais, mas queremos aguardar o desenvolvimento a nível dos Estados Unidos. Isso dá-nos vantagem porque podemos avaliar durante a noite”, disse.
Entretanto, o Centro Nacional de Cibersegurança (CNCS) informou estar “atento” a um eventual ataque informático, adiantando que até às 17h00 não havia qualquer incidente registado em Portugal. Em comunicado enviado à agência Lusa, o CNCS diz que “alertou, de imediato, a rede nacional de CSIRT (Computer Security Incident Response Team), informando-a de que estaria a ocorrer um problema na Ucrânia e que se deveriam preparar e manter vigilância reforçada para a eventualidade do ataque atingir as redes nacionais”. Mas não regista até à data qualquer ocorrência.
The latest from @kaspersky researchers on #Petya: it’s actually #NotPetya pic.twitter.com/uTVBUul8Yt
— Kaspersky (@kaspersky) June 27, 2017
As primeiras informações davam conta de que se tratava de uma nova versão do software malicioso WannaCry, a que estava a ser dado o nome “Petya“. Segundo a Reuters, que cita uma agência de informação tecnológica do governo suíço, na origem deste ataque estava o vírus Petya, que estaria a “reemergir” depois de, no ano passado, ter causando perturbações sobretudo na Ucrânia, Rússia, Reino Unido e Índia. “Há indicações de que o Petya está em circulação novamente, explorando as vulnerabilidades do servidor SMB (Server Message Block)”, dizia a agência, citando o Swiss Reporting and Analysis Centre for Information Assurance.
A multinacional russa de cibersegurança Kaspersky Lab, contudo, em comunicado, esclarece que não se trata do mesmo tipo de ransomware, apesar de explorar as mesmas vulnerabilidades do Windows — chamadas de Eternal Blue.
Symantec analysts have confirmed #Petya #ransomware, like #WannaCry, is using #EternalBlue exploit to spread
— Threat Intelligence (@threatintel) June 27, 2017
Os especialistas da Kaspersky Lab têm uma investigação a decorrer a fim de perceber como o vírus atuou e se espalhou. Para já, podem confirmar que o ransomware (sistema de sequestro de dados informático onde o hacker pede dinheiro em troca) usou ferramentas personalizadas, a la Mimikatz, para captura de credenciais.
Em maio, o software malicioso WannaCry esteve no centro do último ataque informático de ransomware de larga escala, que atingiu mais de 200 mil computadores de cerca de 150 países, inclusive várias empresas de telecomunicações em Portugal.
Às empresas que estão a ser alvo do ataque informático é pedido um resgate em bitcoins (moedas virtuais) – para que os ficheiros voltem a ficar legíveis. Costin Raiu, diretor de investigação da Kaspersky Lab, disse no Twitter que já houve sete empresas a pagar o valor exigido pelos hackers, cerca de 300 euros.
https://twitter.com/craiu/status/879707349413494784
Agências de comunicação em Portugal com ordem para desligar computadores
O ataque parece ter começado na Ucrânia, sendo que já se alastrou a outros países europeus. Segundo a Reuters há registo de ataques contra empresas como a petrolífera Rosneft (na Rússia), a Maersk (na Dinamarca), a WPP (no Reino Unido), a multinacional de vidro francesa Saint-Gobain, e contra o porto de Roterdão (Holanda). A empresa de alimentação espanhola Mondelez, e a empresa de advogados DLA Piper, também de Espanha, estão igualmente a registar problemas informáticos.
O grupo de agências de comunicação britânico WPP já confirmou no Twitter que foi afetado neste novo ataque informático. Contactada pelo Observador, fonte do grupo em Portugal não quis tecer comentários, referindo apenas que toda a equipa se encontrava em reunião. Também a Microsoft Portugal se recusou a prestar declarações, por enquanto.
Apesar de o grupo WPP em Portugal não ter confirmado que estava a ser alvo do mesmo ataque, o Observador sabe que foi ordenado aos colaboradores de algumas das agências do grupo para desligarem os computadores e os dados móveis dos smartphones – isto depois de terem aparecido, nos ecrãs de vários computadores, mensagens que anunciavam que os ficheiros dos computadores estavam a ser encriptados, tal como aconteceu com o WannaCry.
IT systems in several WPP companies have been affected by a suspected cyber attack. We are taking appropriate measures & will update asap.
— WPP (@WPP) June 27, 2017
No Twitter, a gigante petrolífera russa Rosneft deu conta do ataque de que estava a ser alvo e alertou para as “consequências séries” que poderiam advir. Para descansar os clientes, no entanto, informou que a companhia não travou a produção nem a distribuição, tendo transferido tudo para um sistema de processamento de produção de reserva.
A massive hacker attack has hit the servers of the Company. We hope it has no relation to the ongoing court procedures.
— Rosneft (@RosneftEN) June 27, 2017
O Governo ucraniano também está a registar falhas no sistema, com o primeiro-ministro ucraniano, Rozenko Pavlo, a partilhar no Twitter uma imagem do seu ecrã de computador.
Та-дам! Секретаріат КМУ по ходу теж "обвалили". Мережа лежить. pic.twitter.com/B74jMsT0qs
— Rozenko Pavlo (@RozenkoPavlo) June 27, 2017
Também a transportadora Maersk está a registar perturbações. Segundo o The Guardian, há 17 contentores de uma subsidiária da Maersk que estão em vários terminais do mundo que foram afetados pelo vírus.
UPDATE 15:00 CEST pic.twitter.com/L5pBYvNQd3
— Maersk (@Maersk) June 27, 2017
Também o sistema de monitorização de radiação daquilo que resta da central nuclear de Chernobyl foi afetado, de acordo com a agência de notícias France Press. A farmacêutica norte-americana Merck também sentiu o ataque.
#BREAKING Chernobyl's radiation monitoring system affected by cyber attack: spokeswoman
— AFP News Agency (@AFP) June 27, 2017
Bancos e elétricas na Ucrânia foram dos primeiros a ser atingidos
“Como resultado do ataque informático os bancos estão a ter dificuldades com os serviços de apoio aos clientes e com as operações bancárias”, lê-se no comunicado do Banco Central Ucraniano, citado pelo New York Times, o primeiro comunicado divulgado no âmbito do ataque desta terça-feira.
Ainda assim, o banco central ucraniano mostrou-se desde o início “confiante” de que o sistema contra fraude cibernética seja suficiente. “O banco central está confiante de que as infraestruturas de defesa bancária contra a fraude cibernética estejam devidamente acauteladas e que os ataques informáticos nos sistemas IT dos bancos sejam neutralizados”, continua a ler-se no comunicado.
Segundo o New York Times, um dos maiores bancos estatais ucranianos, o Oschadbank, confirmou que os seus serviços estão a ser afetados por um “ataque de pirataria”, mas garantiu que os dados dos clientes estão salvaguardados. Também o distribuidor estatal de eletricidade, Ukrenergo, confirma o ataque nos sistema,s mas avança que as perturbações não estão a ter impacto no fornecimento de energia elétrica.
A Ucrânia tem culpado a Rússia pelos últimos ataques informáticos, incluindo um em 2015 que deixou o ocidente ucraniano temporariamente sem eletricidade. Certo é que os especialistas em segurança cibernética consideram a Rússia uma das mais avançadas potências no domínio dos poderes cibernéticos, a par dos EUA, China, França e Inglaterra.
Quando, em maio, o vírus WannaCry se espalhou em mais de 150 países e atacou várias empresas, surgiram informações de que uma segunda versão melhorada do mesmo ransomware pudesse estar a desenhada.