O risco de outras empresas portuguesas poderem ser alvo de ciberataques, depois do ataque informático ao grupo Impresa no domingo, é permanente, sendo uma “questão de tempo até acontecer”, consideram especialistas em cibersegurança contactados pela Lusa.

Depois de mais dois dias em baixo, os sites do Expresso e da SIC Notícias estão novamente no ar, os quais vão funcionar “de forma provisória”, segundo a Impresa.

Após ataque informático, sites do Expresso e da SIC Notícias estão de volta em formato provisório

PUB • CONTINUE A LER A SEGUIR

Questionado sobre se estes ataques informáticos podem alastrar-se a outras empresas em Portugal, Pedro Leite, administrador com pelouro das operações (COO) da S21sec, refere que “o risco de ter um ciberataque é permanente e qualquer empresa poderá sofrer um ataque de ransomware [Sequestro de informação /arquivo], sendo apenas uma questão de tempo até acontecer”.

Ataque informático destruiu arquivos do Expresso e da SIC

O Grupo Lapsus$, responsável pelo ciberataque à Impresa, “tem atacado durante o mês de dezembro empresas brasileiras, mas ao efetuar este ataque em Portugal pode efetivamente tentar atacar outras empresas portuguesas e, por isso, temos de estar vigilantes”, defende o administrador.

Como empresa especializada em cibersegurança, a S21sec recomenda vivamente que as empresas portuguesas melhorem a sua postura em cibersegurança, sendo que uma das boas práticas recai no desenvolvimento de procedimentos de resposta a incidentes deste tipo, salienta Pedro Leite.

Para Rui Duro, country manager da Check Point Software em Portugal, “o risco deste tipo de situações impactar empresas portuguesas existe desde sempre”.

Atualmente, destaca, “uma organização em Portugal está a ser atacada em média 947 vezes por semana, sendo o ransomware uma das principais ameaças”. Em média 1,7% delas “é impactada por semana por ransomware“, sendo que este tipo de ataques “tem-se alastrado e vai continuar a alastrar-se pelas empresas em Portugal e no mundo”.

“Por enquanto, os alvos que atacaram não têm relação aparente entre eles, então supomos que o grupo tentará afetar empresas que, uma vez comprometidas, podem dar aquele empurrão mediático que o grupo parece estar à procura”, acrescenta Marc Rivero, analista da equipa de análise e investigação global da GReAT da Kaspersky.

Sobre o Grupo Lapsus$, sabe-se que tem estado ativo desde o “início de dezembro e, até à data, é um novo player no mercado do cibercrime, mas a sua atividade está a ser monitorizada”, aponta Rivero,

Através do nosso departamento de ciberinteligência verificamos que este grupo tem estado ativo desde 10 de dezembro de 2021, quando efetuaram um ataque ao Ministério da Saúde do Brasil, sendo que neste caso em concreto tiveram acesso aos servidores AWS do ministério, iniciando o ataque através da exfiltração e respetiva eliminação dos dados, possibilitando de seguida o pedido de um resgate para a sua recuperação, conta Pedro Leite.

“Desde essa altura já identificamos outros ataques, maioritariamente a empresas brasileiras”.

Já existe um perfil do Lapsus$, mas “a perfilagem total e a identificação dos elementos deste grupo não é simples” e poderá levar meses até se conseguir obter informação, “até chegar a uma cara”, salienta Rui Duro.

Este tipo de ataque, designado como ransomware “são muito comuns nos últimos anos e surgem porque os cibercriminosos exploram as vulnerabilidades das empresas (infraestruturas/aplicações e principalmente dos próprios utilizadores/colaboradores da organização), conseguindo obter acessos que permitem comprometer os sistemas”, prossegue Pedro Leite.

Depois disso dão início à exploração do ataque através de um software malicioso (malware) e, apesar de haver mecanismos de deteção e proteção, estes “podem não ser 100% fiáveis porque os atacantes” estão sempre a aperfeiçoar as técnicas, refere.

O que é o “ransomware”, responsável pelo ataque informático aos sites do Expresso e da SIC?

“Idealmente, as empresas estariam protegidas contra este tipo de ataques“, mas, “atualmente, as ameaças adquirem uma sofisticação tal que apenas uma abordagem proativa e preventiva contra este tipo de situações pode evitar” que se tornem alvo, acrescenta Rui Duro.

Marc Rivero salienta que as empresas que “não seguem as boas práticas de segurança cibernética podem estar sujeitas a ataques deste tipo”. No entanto, “no caso deste grupo, dos vetores que foram observados em fontes abertas, eles utilizaram ‘passwords’ fracas para aceder a determinados recursos partilhados pela empresa vítima”.

Os ataques ransomware “estão cada vez mais em voga e têm impactado infraestruturas cada vez mais críticas”, reforça Rui Duro. Em Portugal, a “grande maioria dos ataques (90%, para ser mais específico) iniciam-se com um simples” mail, “começando com um software malicioso que se instala no dispositivo e que permite aos atacantes ganhar tempo para, subreticiamente, conhecerem o seu alvo, as formas de atuação” e os procedimentos internos.

O momento para atacar “não é fruto do acaso” e as “férias, épocas festivas, fins-de-semana são alturas especialmente apetecíveis para implementar ataques”, diz Rui Duro.

Sobre se os dados dos clientes da Impresa podem estar comprometidos, Pedro Leite refere que “tudo depende da informação a que os atacantes tiveram acesso”.

Em ataques deste género, “não só os dados pessoais do utilizador podem ser comprometidos, como também a propriedade intelectual da empresa em questão”, aponta Marc Rivero, com Rui Duro a salientar que para responder à questão é preciso conhecer “ao pormenor os vetores de ataque” e os sistemas infetados em específico.

Após um ciberataque, “primeiro são analisados todos os sistemas, com o intuito de encontrar outras possíveis violações de segurança, o que não significa necessariamente que o dano foi grande ou pequeno“, explica Marc Rivero.

Rui Duro afirma que as proporções do ataque não podem ser vistas “pelo tempo de demora de recuperação, mas sim pela extensão do mesmo”, sendo “sempre necessário efetuar uma extensa atividade de pesquisa forense, que leva o seu tempo e que não pode nem deve ser apressado”.

Já Pedro Leite sublinha que para repor novamente os serviços é preciso saber como foi efetuado o ataque, para evitar um novo, e “garantir que a informação” que vai ser reposta é efetuada “numa infraestrutura que não esteja comprometida”, atividades que “demoram tempo”.

Sobre o tempo de recuperação de um ataque, este “pode ser longo”, aponta Pedro Leite, citando que “existem alguns dados estatísticos que indicam que em média são precisos 78 dias (…) para detetar e conter uma quebra de segurança”.

Depende “muito do impacto do ataque recebido, da capacidade de resiliência da empresa afetada e da sua maturidade no domínio da cibersegurança”, pelo que não é possível “dar uma data sequer estimada”, refere Marc Rivero.

“Temos exemplos de casos de ataques ransomware que demoraram duas semanas a solucionar, como outros em que passados três meses os sistemas ainda não se encontram totalmente funcionais”, dependendo do grau de complexidade e impacto nos sistemas críticos da empresa, aponta Rui Duro, salientando que depende também do “tempo que a restauração dos serviços críticos exige, bem como das práticas de segurança que a empresa tem implementadas ou não, como por exemplo a realização de backups regulares”.