No centro do ataque informático aos sites do Expresso e da SIC, o ransomware preocupa cada vez mais as empresas e as agências responsáveis pela cibersegurança. Em Portugal, o Centro Nacional de Cibersegurança (CNCS) diz que a pandemia “gerou um contexto de oportunidade que favoreceu as atividades ilícitas online“, como aquelas que recorrem ao ransomware com o objetivo de pedir resgate às vítimas (ransom significa resgate). Em 2019 e 2020, o CNCS registou 42 ataques.

O ransomware é um tipo de malware que permite que “um atacante se apodere dos ficheiros e/ou dispositivos de uma vítima, bloqueando a possibilidade de esta poder aceder-lhes”, define a Agência Europeia para a Segurança das Redes e da Informação (ENISA, na sigla original). É depois pedido um resgate, geralmente através de criptomoedas para que os pagamentos não sejam rastreáveis.

Sites do jornal Expresso e da SIC hackeados com pedidos de resgate pelos piratas informáticos

PUB • CONTINUE A LER A SEGUIR

Bruno Duarte, técnico de segurança sénior da Check Point Software, empresa especializada em cibersegurança, explica ao Observador que os ataques de ransomware têm evoluído para os chamados “ransomware de dupla extorsão”, em que, além de se tentar obter uma contrapartida pela informação que foi cifrada, os atacantes ameaçam disponibilizar a informação publicamente, o que pode comprometer o negócio das empresas. Há, também, os ataques de “tripla extorsão”, em que os hackers têm acesso a dados de terceiros (de clientes, por exemplo).

Os ataques podem ter origem em vulnerabilidades do servidor que esteja exposto à internet. “A partir daí, instala-se um software que vai comunicar com o servidor, proceder à encriptação e espalhar-se por outros servidores, se houver essa comunicação. Pode ter sido uma conta que tenha sido comprometida e alguém entrou num dos servidores e instalou software que depois deu origem a este ataque, pode ser num email, ou num ficheiro de que se faz download“, indica.

A facilidade com que o problema é resolvido depende das medidas de proteção de cada empresa, nomeadamente se existem “mecanismos de proteção que previnem que o ransomware se espalhe lateralmente por outras plataformas”. Nesse caso, o malware “estará contido nesse servidor”, o que facilita o trabalho à empresa.

Pagar o resgate “será sempre a última opção”. Os backups (cópias da informação), sublinha o especialista, são uma das formas mais fáceis de recuperar do ataque. “Isto provoca alguma indisponibilidade do serviço, mas é possível recuperar a informação se existirem esses backups“, frisa. O tempo de recuperação depende da infraestrutura que foi atacada e do tamanho da base de dados, assim como de eventuais perícias da Polícia Judiciária (PJ).

No caso do ataque aos sites do Expresso e da SIC, os hackers também referem na mensagem que têm acesso aos “painéis de cloud (AWS)”. Bruno Duarte refere que isso significa — se estiverem a dizer a verdade — que “podem ter tido acesso a credenciais de gestão da conta do grupo na cloud AWS”. Se isso for verdade, conseguiriam “até eliminar servidores, ter acesso a toda a infraesturura”. Mas Bruno Duarte alerta: “Pode ser apenas bluff“.

Detetados 42 incidentes de ransomware em dois anos

Segundo o relatórios Riscos e Conflitos, do Centro Nacional de Cibersegurança (CNCS), foram reportados ao CERT.PT, a equipa de resposta a incidentes de Segurança Informática Nacional, 24 ataques de ransomware em 2019 e 18 em 2020. No entanto, lê-se no documento, “muitos dos casos de ransomware, devido ao seu caráter criminal mais evidente, não são reportados diretamente ao CERT.PT, mas sim às autoridades”. O Observador questionou a PJ sobre o assunto, mas aguarda resposta.

No mesmo relatório, o ransomware aparece como uma das ciberameaças que causam maior preocupação, entre o phishing/smishing e outros malwares. Esta forma de criminalidade está, também, entre as que mais frequentemente constam no registo de denúncias ao Gabinete Cibercrime da PGR, depois de fraudes ligadas ao MBWay e ao phishing, em 2020. O CNCS alerta que a pandemia “gerou um contexto de oportunidade que favoreceu as atividades ilícitas online”, onde se encaixa o ransomware.