Há mais de 48 horas que os sites do Expresso e da SIC Notícias foram raptados por um grupo recente, mas com currículo: antes de atacar o Grupo Impresa, Lapsus$ já tinha estado por trás de ataques informáticos aos sites do Ministério da Saúde brasileiro, do serviço de saúde e do portal Covid — problemas que, embora parcialmente resolvidos, continuam a causar perturbações nas plataformas.

O que se passa nos computadores do Grupo Impresa ainda está em investigação. E as opiniões dividem-se: num comentário enviado às redações, Marc Rivero, analista da equipa de Análise e Investigação Global da Kaspersky, disse que “não conseguimos assegurar que tenham executado algum ransomware no servidor do cliente”: “Deixar notas e comentários nos sites, como os grupos de ransomware estão a fazer, pode ser apenas uma questão de atrair/chamar à atenção”.

O que é o “ransomware”, responsável pelo ataque informático aos sites do Expresso e da SIC?

Mas a teoria que prevalece é a defendida por Bruno Duarte, técnico de segurança sénior da Check Point Software, empresa especializada em cibersegurança: o Grupo Impresa terá sido vítima de ransomware, um rapto de informações digitais libertadas em troca de alguma coisa. A história destes ataques informáticos tem 33 anos e envolve um biólogo e o vírus da sida.

Quem, quando, como: a origem do ransomware

Em dezembro de 1989, 20 mil disquetes foram enviadas para os hospitais, instituições de investigação médica, escritórios de médicos e enfermeiros em noventa países. O conteúdo, prometia o rótulo assinado por uma empresa fictícia chamada “PC Cyborg Corporation”, era um software com material didático sobre o vírus da sida. No momento em que o utilizador introduzia as disquetes no computador, era submetido a um teste que alegava medir o nível de risco de uma pessoa contrair o vírus da sida com base nas respostas que dava.

Primeiro, aparecia uma mensagem numa caixa azul aparentemente inofensiva que dizia: “Bem-vindo ao programa de computador interativo chamado AIDS Information. Este programa é concebido para fornecer informação atualizada sobre a fatal doença da síndrome da imunodeficiência adquirida. A informação de saúde fornecida a si através deste programa pode salvar-lhe a vida”.

Uma vez instalado, o programa perguntava a regularidade com quem o utilizador tinha relações sexuais desprotegidas, se tinha o hábito de alterar de parceiro sexual ou se estava familiarizado com os modos de transmissão do vírus. A seguir, informava o cliente do quão provável seria de contrair o vírus e fornecia informações atualizadas sobre como tem progredido a doença pelo mundo.

Mas atrás deste teste, que tinha de facto bases científicas, estava um outro vírus, desta vez informático — mais especificamente um “Cavalo de Tróia”, um malware (software que danifica plataformas digitais) que engana os utilizadores sobre o seu verdadeiro objetivo. Chamava-se “AIDS Trojan”, só infetava o computador quando o utilizador reiniciava o dispositivo um determinado número de vezes e foi o protagonista da mais caro investigação alguma vez preparada pela Unidade de Informática da Scotland Yard.

Uma vez ativo, o vírus lançava uma nova mensagem nos ecrãs, desta vez numa caixa vermelha, que dizia: “Caro cliente, está na hora de pagar pelo aluguer de software da PC Cyborg Corporation. Complete a fatura e anexe o pagamento pela opção de arrendamento que preferir”. A disquete pedia um pagamento de 189 dólares para aceder 365 vezes ao programa ou 378 dólares para uma utilização vitalícia. Toda a documentação, desde à fatura ao comprovativo da compra, devia ser enviado por carta para uma morada no Panamá.

Não demorou muito até as instituições afetadas perceberem que estavam a ser vítimas de um embuste. Enquanto algumas faziam queixa às autoridades dos seus países, outras preferiram proteger algumas das informações que tinham em mãos e decidiram apagar ficheiros com investigações, pesquisas e dados anónimos sobre as empresas ou sobre os clientes. Em Itália, por exemplo, uma organização ligada ao estudo da sida e ao apoio de pessoas infetadas apagou documentos correspondentes a dez anos de trabalho.

Não sabiam que, atrás do programa malicioso que tinha infetado os seus sistemas informáticos, não estava um programador fanático, mas sim Joseph L. Popp, um biólogo evolucionista com doutoramentos com o carimbo de Harvard. É o mesmo biólogo que tem um conservatório de borboletas em Nova Iorque, que geria com a filha antes da morte, em 2006.

Nunca foi realmente apurado o que levou Joseph L. Popp a criar este código malicioso: a maior parte das instituições afetadas pela criação do biólogo eram reconhecidas pela Organização Mundial de Saúde (OMS), onde Popp chegou a trabalhar precisamente na área da investigação da sida. Uma notícia publicada à época no The Guardian dizia que o cientista tinha decidido criar este código como forma de vingança por a OMS lhe ter negado o financiamento de um trabalho.

A defesa, no entanto, fez de Joseph L. Popp um Robin dos Bosques da medicina: afirmaram durante todo o processo que o biólogo tencionava recolher o dinheiro das instituições e depois utilizá-lo em investigações e experiências para encontrar curas ou medicamentos para os pacientes com sida.

Esta teoria nunca convenceu o público. Duas semanas depois do ataque, Popp tinha saído de um seminário em Nairobi e voado para os Estados Unidos, onde nenhuma instituição médica tinha sido afetada. Durante esse seminário, o ataque informático iniciado por Popp (ainda sem que fosse conhecida a origem da burla) foi abordado. À chegada a Amesterdão, onde fez escala, o cientista começou a agir de forma estranha e rabiscou na mala de um companheiro de viagem a mensagem: “O Dr. Popp foi envenenado”, em letras capitais.

Durante uma revista feita à mala foi encontrado um carimbo com o nome da empresa fictícia por detrás do software fraudulento, PC Cyborg Corporation. Joseph Popp acabou por ser detido pelo FBI em casa dos pais em Willowick (estado do Ohio) e foi extraditado para o Reino Unido, onde enfrentou acusações por dez crimes de extorsão e de dano criminal.

As opiniões em relação a Joseph Popp dividiam-se. Uns acreditavam que o cientista era inimputável o que, tendo em conta os seus comportamentos enquanto esteve preso, era uma versão credível: Popp punha preservativos no nariz, caixas de cartão na cabeça e enroladores na barba para “evitar a ameaça de radiação”, noticiavam os jornais britânicos. Outros acreditavam que Popp era tudo menos inocente, já que um diário mantido pelo biólogo num computador apreendido pela polícia dizia que o ataque tinha sido engendrado durante ano e meio.

Em novembro de 1991, o juíz Geoffrey Rivlin considerou que Joseph Popp não estava mentalmente saudável e que não podia ser presente em tribunal. Popp regressou aos Estados Unidos e dedicou o resto da sua carreira ao estudo de babuínos. No ano seguinte, uma investigação da Virus Bulletin revelou que, antes de ser detido, o cientista preparava-se para enviar mais dois milhões de disquetes.

A criptografia: bom samaritano ou arma letal

Para entender o crime de Joseph Popp é preciso compreender o conceito de criptografia. A criptografia é a ciência que estuda métodos que permitam transformar uma determinada informação original numa informação ilegível para terceiros. Usado de modo eticamente aceitável, a criptografia é uma boa maneira de fazer circular informação secreta de forma segura porque, para a desvendar, é necessário ter autorização do sistema. Por exemplo, o WhatsApp utiliza a criptografia para que as mensagens enviadas por e para um utilizador não sejam corrompíveis no caminho.

Mas a mesma tecnologia pode ter implicações perversas e prova disso é precisamente a história do primeiro ataque de ransomware. De um ponto de vista técnico, o código fraudulento de Joseph Popp não era complicado de decifrar. Com a criptografia simétrica, a mesma chave que é usada para cifrar a informação secreta por um emissor também é usada para a decifrar a informação pelo recetor. Tudo o que os informáticos tiveram de fazer foi analisar o algoritmo do programa de Popp e encontrar a chave de decifração.

Assim que o código acabou de ser analisado, os informáticos criaram um segundo programa gratuito, chamado AIDSOUT, que funcionava como antídoto ao vírus lançado pelo cientista. Mas a criação de Joseph Popp abriu novas portas para os crimes na rede. E o legado que criou renasceu seis anos mais tarde, em 1996, nas mãos de dois criptógrafos,  Adam L. Young e Moti M. Yung.

Na conferência de imprensa do Instituto de Engenheiros de Eletrotecnia e Eletrónica, os dois engenheiros anunciaram ter preenchido as lacunas do algoritmo criado por Joseph Popp utilizando uma nova forma de criptografia: a assimétrica ou criptografia de chave pública. Embora seja mais lenta, esta criptografia é mais eficaz porque utiliza duas chaves: uma pública, partilhada entre o emissor e o recetor, que é usada para encriptar a informação; e outra privada, que é usada para desencriptar a informação.

Era o primeiro passo para Moti Yung se tornar num Galileu da criptovirologia, a ciência de usar a criptografia em vírus informáticos e softwares maliciosos (malware). Hoje trabalha na Google, depois de ter passado pelo Snapchat, de já ter passado pela Google entre 2007 e 2016, pela IBM e por várias empresas de segurança informática norte-americanas. Mas tornou-se reconhecido pelo público em 1996 quando descobriu uma forma segura, do ponto de vista do atacante, de raptar a informação guardada nos computadores das vítimas e alertou o mundo: o ransomware tinha encontrado o seu caminho para a perfeição.

A ciência por trás do ataque que afetou a Impresa ainda está a ser desnovelado. Segundo a Kaspersky, sabe-se que o Lapsus$ funciona sobretudo através do Telegram, onde os criminosos partilham os dados roubados, e que já foram identificadas cinco vítimas destes hackers. Sabe-se também que, pelo menos em alguns dos ataques, o grupo utilizou senhas mal configuradas ou com configurações inseguras para comprometer os computadores. Tudo o resto continua a ser uma incógnita: vai valendo a experiência de outros ataques do passado.

Sites do jornal Expresso e da SIC hackeados com pedidos de resgate pelos piratas informáticos

WannaCry: a radiografia ao “verme” que atacou o mundo em 2017

O último grande ataque de ransomware, que atingiu 150 países pelo mundo inteiro a 12 de maio de 2017, foi protagonizado por um software malicioso chamado WannaCry. Chama-se software malicioso ou “malware” porque penetra sem autorização num computador alheio para roubar informação ou causar dano memorizado nesse aparelho. Quando um malware ataca infraestruturas, computadores ou redes informáticas através de uma fonte anónima que rouba, altera ou destrói esses aparelhos estamos perante um ciberataque, que pode ou não acontecer através da Internet.

Ao contrário do que se pensa, WannaCry não é um vírus informático mas antes um worm. A diferença entre um vírus informático e um worm é semelhante ao que distingue um vírus de uma bactéria no mundo da biologia: enquanto um vírus infeta um determinado programa, de que se torna hospedeiro, e precisa dele para se alastrar, um worm é um programa autónomo e completo que se replica de modo a infetar outros computadores em rede.

WannaCry, por exemplo, é um worm que se aproveita de uma falha de segurança em computadores com o sistema operacional Microsoft Windows: é a falha MS-17-010, uma vulnerabilidade na implementação do protocolo SMB (Server Message Block), que quando funciona em pleno permite a vários computadores ligados entre si partilharem arquivos ou terem acesso a webmails comuns e a impressoras, por exemplo.

Esta falha não era desconhecida da Microsoft: dois meses antes do ataque, em março de 2017, a empresa já tinha lançado uma série de conselhos e até um “patch”, um programa criado para atualizar ou remendar um software. Essas iniciativas resultaram para algumas versões do sistema: computadores com Windows Vista, por exemplo, ficaram livres da falha e o protocolo SMB passou a funcionar na perfeição. Mas outras versões, como o Windows XP, não tinham sido corrigidas. Essa foi a janela de oportunidade do WannaCry.

Às 8h44 de Lisboa, algures no continente asiático, o worm WannaCry infetou um computador aproveitando-se dessa vulnerabilidade no protocolo SMB da Microsoft Windows. O malware conseguiu infiltrar-se no computador através de um exploit, um pedaço de software que tira vantagem de uma falha no sistema para provocar um comportamento anormal em qualquer máquina eletrónica.

Esse exploit chama-se EternalBlue e permite fazer três coisas: ganhar controlo remoto de um sistema de computadores, permitir acesso a uma falha ou configuração protegida por uma aplicação ou pelo próprio utilizador da máquina; ou provocar um ataque DoS (denial of service), em que os recursos de um sistema ficam indisponíveis — por exemplo, sobrecarregando um servidor de Internet, fazendo com que os sites nele hospedados sejam impossíveis de abrir.

Tudo indica que o EternalBlue tenha sido criado pela Agência de Segurança Nacional (NSA), mas foi roubado por um grupo de hackers — os Shadow Brokers — depois de alegadamente terem recebido informações de um funcionário da Unidade de Acesso Personalizado da NSA. Mais tarde, uma investigação do The Washington Post afirmava que Harold T. Martin III, um antigo membro da empresa de consultoria e gestão Booz Allen, era o responsável pela fuga de informação depois de ter roubado 50 terabytes de dados à NSA. No entanto, Edward Snowden sugeriu numa publicação no Twitter que “provas circunstanciais e sabedoria convencional indicam que a responsabilidade [do ataque era] russa”.

Ora, quando o Eternal Blue abre as portas do computador ao WannaCry, um segundo programa é instalado no aparelho: é o Double Pulsar, que serve para transferir e colocar em ação o ataque de ransomware. O Double Pulsar é um backdoor. Chama-se assim porque é um recurso usado por softwares maliciosos para ter acesso a um sistema ou rede vulnerável, explorando falhas de programas instalados ou sistemas desatualizados.

A seguir, o WannaCry faz aquilo para que foi criado: primeiro, encontra os ficheiros e dados armazenados no computador. A seguir, encripta esses dados para que eles deixem de estar ao alcance do utilizador do computador e, a seguir, lança uma mensagem que confirma o ataque e pede um resgate dos documentos.