Um ataque de ransomware lançado à escala global começou a deixar marcas em Portugal na madrugada de sexta-feira. Aparentemente, terão sido os operadores de telecomunicações os alvos prioritários deste ataque. Numa decisão inédita, a PT ordenou aos trabalhadores que desligassem os computadores e tirassem os cabos de rede, cortando o acesso à Internet. A Vodafone Portugal afirma que não foi alvo de qualquer ataque, mas a multinacional em Espanha decidiu desligar o sistema por uma questão de prevenção. A Vodafone Espanha já veio confirmar não foi afetada. A Nos ainda não se pronunciou sobre o assunto.
Os ciberataques apenas terão por alvo as redes informáticas internas e nos repositórios de informação dos operadores. As redes de telecomunicações móveis e fixas continuam a operar sem problemas.
Pedro Veiga, coordenador do Centro Nacional de Cibersegurança (CNCS), confirma a passagem do ciberataque por Portugal: «Sabemos que há problemas, mas não sabemos ainda quais os problemas e a extensão desses problemas. Até porque pode ser informação que os operadores podem considerar sigilosa e só as autoridades, eventualmente, poderão exigir essa informação».
O responsável pelo CNCS confirmou que este ataque decorre de uma campanha de ransomware à escala global que terá tido como alvos prioritários os operadores de telecomunicações. De acordo com a empresa de segurança eletrónica S21Sec, o código maliciosi que está na origem desta campanha pertence à família de ransomware Wanna.
«Um aspeto relevante desta variante do ransomware é que tenta comprometer outros sistemas a partir das máquinas inicialmente comprometidas, usando vulnerabilidades dos segundos, executando também nestes o mesmo processo de inibição do acesso aos ficheiros», refere a S21Sec em comunicado.
A empresa de segurança eletrónica refere ainda que «no momento em que este texto é produzido, são já vários os países onde este malware tem comprometido computadores de forma sistemática e expressiva, estando Rússia, Ucrânia, Taiwan e Espanha entre os mais visados. Várias organizações em Portugal, à semelhança do que supostamente a Telefonica fez, deram instruções aos seus colaboradores para desligarem os seus computadores até novas indicações. Existem inclusivamente notícias de que pacientes em hospitais ingleses tiveram de ser reencaminhados para outros hospitais dada a incapacidade de alguns executarem a sua atividade de forma normal».
Vários contactos levados a cabo pelo Expresso e pela Exame Informática garantem que o ataque não escolheu empresas de um só setor e lembram que também bancos, consultoras e empresas de energia terão tomado medidas de precaução.
Há várias confirmações de que o raio de ação do ataque não se terá limitado ao setor das telecomunicações: a EDP tem, desde o início da tarde, o seu sistema informático interno desligado. Fonte oficial da elétrica explicou que, assim que a empresa teve conhecimento do ataque a outros sistemas, decidiu desligar da rede os respetivos computadores, tendo informado a Polícia Judiciária do sucedido.
Segundo a empresa de eletricidade não está em causa o funcionamento do sistema da EDP Distribuição, que gere a rede elétrica de baixa e média tensão.
A Caixa Geral de Depósitos (CGD) não foi alvo de ataque, mas vedou o acesso ao e-mail e tem uma equipa a monitorizar a situação.
O BCP garante que não foi atacado, mas está a monitorizar a situação. O banco não esclarece se tomou alguma medida de segurança a título excecional.
Até ao momento, o centro de reporte de incidentes da Autoridade Nacional das Comunicações (Anacom) refere não ter recebido qualquer notificação relativa a danos causados por um ciberataque. À luz da regulação em vigor, o centro da Anacom tem de ser alertado sempre que um ciberataque assume proporções capazes de afetarem as redes de telecomunicações de forma significativa.
Até ao momento, as empresas que se debatem com este ataque que tem por objetivo o sequestro de dados apenas confirmam que estão a monitorizar a situação e a tomar medidas de segurança capazes de travar esta ameaça. Não é fornecida qualquer informação sobre os danos e as perdas que, eventualmente, resultaram deste ataque.
Como funciona o ransomware
Os ataques de ransomware têm por ponto de partida o contágio de uma ou mais máquinas ligadas a uma rede informática. O contágio (ou a injeção do código malicioso) pode ser feita através de um download, de uma visita a um site ou do uso de um link criado com intuito de ludibriar um internauta. Uma vez contaminadas, as máquinas passam a receber comandos de cibercriminosos remotamente. Com estes comandos, os hackers podem enveredar por ações maliciosas diversas – mas no caso do ransomware é procurado o lucro e, por isso, os cibercriminosos optam por encriptar os dados de todos os computadores, servidores e telemóveis que conseguem infetar e solicitam um valor de resgate para devolver a informação às vítimas. O resgate costuma ser pago em bitcoins – uma moeda virtual, que costuma ser usada no submundo da Internet.
«Neste momento, estamos em contacto com entidades internacionais com o objetivo de saber se já é conhecida uma forma de desencriptação dos dados», refere Pedro Veiga, acrescentando de seguida: «O que se sabe é que este ataque explora um tipo de vulnerabilidade. É uma vulnerabilidade conhecida e para a qual já existem soluções que evitam que possa ser explorada. Mas enquanto essa vulnerabilidade não for mitigada, há o risco de exposição ao ataque. Não vou dizer qual a vulnerabilidade em causa. Trata-se uma boa prática que evita que outros venham a explorar essa vulnerabilidade».