Os cidadãos brasileiros acordaram assustados nesta sexta-feira, 10, após um ataque cibernético tirar do ar plataformas do Ministério da Saúde durante a madrugada. No recado deixado no portal, os criminosos afirmaram que a invasão se tratava de um ataque do tipo “ransomware”: eles disseram ter copiado e excluído 50 TB (Terabytes) de dados e pediram resgate. Para especialistas ouvidos pelo Estadão, porém, ainda é preciso investigar o caso para saber se houve de fato roubo de informações.
O ataque de ransomware é aquele em que os criminosos sequestram dados da vítima, bloqueiam os sistemas e pedem resgate em dinheiro – o nome ransom, em inglês, significa o pagamento para libertar um refém. No ransomware, os criminosos geralmente usam programas maliciosos que, por meio de criptografia, bloqueiam o acesso das vítimas a seus arquivos. A infecção se dá principalmente por vulnerabilidades em programas desatualizados, uso de senhas fracas e arquivos maliciosos enviados por e-mail (que são acessados por funcionários ou membros da instituição alvo do ataque).
No caso do ataque ao Ministério da Saúde, ainda não há provas de que os dados do Ministério da Saúde foram sequestrados. Por enquanto, o único indício de que isso aconteceu foi a própria mensagem postada pelos criminosos. “Já tivemos casos que pareciam ransomware, mas que depois não se confirmaram”, afirma Felipe Daragon, fundador da empresa de cibersegurança Syhunt.
Até o momento, é possível afirmar que houve um ataque ao sistema DNS, que é o responsável por direcionar os usuários a plataformas na internet. Em outras palavras, o DNS leva o usuário do domínio “www” para um endereço de IP, que é o “RG” que cada site ganha ao se hospedar na internet. O que os criminosos fizeram nesta sexta-feira foi interceptar o caminho entre o endereço “saude.gov.br” e o site do Ministério da Saúde, direcionando a página para o recado dos hackers – o IP detectado para esta página indicava um registro em Tóquio.
Segundo especialistas em cibersegurança, embora o ataque DNS envolva algum tipo de comprometimento dos sistemas do Ministério, isso não necessariamente envolve o roubo ou comprometimento de informações. “Sabemos que os criminosos em algum momento estiveram de posse do domínio do Ministério da Saúde, incluindo o de e-mails. Mas ainda não há comprovações de que houve roubo das informações”, afirma Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS).
O Estadão apurou que, num primeiro momento, a avaliação de integrantes da pasta é de que não houve qualquer comprometimento das informações da população vacinada. De acordo com pessoas ouvidas pela reportagem com acesso aos sistemas internos, os dados sobre a aplicação de vacina contra a covid na população estão armazenados em blockchain – um banco de dados descentralizado, que usa criptografia, e, portanto, mais seguro. Apesar da invasão, as informações do Conecte SUS não teriam sido apagadas.
Levantou-se a suspeita de roubo de dados porque os usuários tiveram problemas em buscar recursos como o comprovante de imunização contra a covid-19. Especialistas, entretanto, afirmam que esse fato, sozinho, não comprovaria um ataque de ransomware. “Esse tipo de problema pode ser decorrente inclusive desse ataque de DNS e de alguma questão interna do aplicativo, que não está conseguindo acessar essas informações”, afirma Nobre.
A princípio, a falha na consulta do comprovante de vacinação poderia ser explicada, então, pela dificuldade de comunicação com o servidor do Ministério. Ou seja, o usuário tem a sua rota desviada da informação que está hospedada no servidor do Ministério.
O caso, porém, necessita de mais investigação, segundo os especialistas.
Suposta origem
A empresa de cibersegurança Axur afirmou nesta sexta-feira que detectou que o grupo Lapsus$ Group, que assumiu a autoria dos ataques ao Ministério da Saúde, está relacionado a um vazamento de dados da companhia EA Games e possivelmente com a venda de dados da empresa Schlumberger.
Para o professor da UFRGS, porém, o caso merece atenção, independentemente se houve roubo das informações ou não. “Estão acontecendo ataques recorrentes aos sistemas do Ministério da Saúde, que é um alvo pela visibilidade no momento da pandemia. O governo federal precisa prover processos mais robustos de segurança cibernética”, diz.
Fonte: Estadão