Ministério da Saúde foi alvo de 'ransomware'? Especialistas dizem que é preciso investigar mais
Segundo pesquisadores, dificuldades de acesso ao site da instituição não indica que houve roubo de dados
Os cidadãos brasileiros acordaram assustados nesta sexta-feira, 10, após um ataque cibernético tirar do ar plataformas do Ministério da Saúde durante a madrugada. No recado deixado no portal, os criminosos afirmaram que a invasão se tratava de um ataque do tipo "ransomware": eles disseram ter copiado e excluído 50 TB (Terabytes) de dados e pediram resgate. Para especialistas ouvidos pelo Estadão, porém, ainda é preciso investigar o caso para saber se houve de fato roubo de informações.
O ataque de ransomware é aquele em que os criminosos sequestram dados da vítima, bloqueiam os sistemas e pedem resgate em dinheiro - o nome ransom, em inglês, significa o pagamento para libertar um refém. No ransomware, os criminosos geralmente usam programas maliciosos que, por meio de criptografia, bloqueiam o acesso das vítimas a seus arquivos. A infecção se dá principalmente por vulnerabilidades em programas desatualizados, uso de senhas fracas e arquivos maliciosos enviados por e-mail (que são acessados por funcionários ou membros da instituição alvo do ataque).
No caso do ataque ao Ministério da Saúde, ainda não há provas de que os dados do Ministério da Saúde foram sequestrados. Por enquanto, o único indício de que isso aconteceu foi a própria mensagem postada pelos criminosos. "Já tivemos casos que pareciam ransomware, mas que depois não se confirmaram", afirma Felipe Daragon, fundador da empresa de cibersegurança Syhunt.
Até o momento, é possível afirmar que houve um ataque ao sistema DNS, que é o responsável por direcionar os usuários a plataformas na internet. Em outras palavras, o DNS leva o usuário do domínio "www" para um endereço de IP, que é o "RG" que cada site ganha ao se hospedar na internet. O que os criminosos fizeram nesta sexta-feira foi interceptar o caminho entre o endereço "saude.gov.br" e o site do Ministério da Saúde, direcionando a página para o recado dos hackers - o IP detectado para esta página indicava um registro em Tóquio.
Segundo especialistas em cibersegurança, embora o ataque DNS envolva algum tipo de comprometimento dos sistemas do Ministério a partir de uma falha de segurança, isso não necessariamente envolve o roubo ou comprometimento de informações. "Sabemos que os criminosos em algum momento estiveram de posse do domínio do Ministério da Saúde, incluindo o de e-mails. Mas ainda não há comprovações de que houve roubo das informações", afirma Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS).
O Estadão apurou que, num primeiro momento, a avaliação de integrantes da pasta é de que não houve qualquer comprometimento das informações da população vacinada. De acordo com pessoas ouvidas pela reportagem com acesso aos sistemas internos, os dados sobre a aplicação de vacina contra a covid na população estão armazenados em blockchain - um banco de dados descentralizado, que usa criptografia, e, portanto, mais seguro. Apesar da invasão, as informações do Conecte SUS não teriam sido apagadas.
Levantou-se a suspeita de roubo de dados porque os usuários tiveram problemas em buscar recursos como o comprovante de imunização contra a covid-19. Especialistas, entretanto, afirmam que esse fato, sozinho, não comprovaria um ataque de ransomware. "Esse tipo de problema pode ser decorrente inclusive desse ataque de DNS e de alguma questão interna do aplicativo, que não está conseguindo acessar essas informações", afirma Nobre.
A princípio, a falha na consulta do comprovante de vacinação poderia ser explicada, então, pela dificuldade de comunicação com o servidor do Ministério. Ou seja, o usuário tem a sua rota desviada da informação que está hospedada no servidor do Ministério.
O caso, porém, necessita de mais investigação. Segundo especialistas, o número de 50 TB divulgado pelos supostos autores seria considerado grande demais para bases de dados de uma única instituição - esse poderia ser mais um indício que de não houve acesso às informações.
Suposta origem
Segundo a empresa brasileira de segurança cibernética Harpia Tech, que monitora riscos e ameaças em geral, o grupo Lapsus$ Group, que assumiu a autoria dos ataques ao Ministério da Saúde, não é um nome conhecido no universo hacker. "Temos apenas dois registros de ataques que usam esse nome, com escritos em inglês. Um ocorreu no mês de maio contra a produtora americana de jogos eletrônicos EA Games e o outro aconteceu em junho, em que eles dispararam SMS para vários usuários de serviços da Apple, tentando extorquir dinheiro", diz Filipe Soares, fundador da HarpiaTech. A empresa de cibersegurança Axur também detectou uma possível relação do grupo com a venda de dados da empresa Schlumberger. De acordo com Soares, porém, há a possibilidade de terceiros estarem se apropriando do nome do grupo neste ataque ao Ministério.
Para o professor da UFRGS, a segurança dos dados dos brasileiros merece atenção, independentemente se houve roubo das informações ou não desta vez. "Estão acontecendo ataques recorrentes aos sistemas do Ministério da Saúde, que é um alvo pela visibilidade no momento da pandemia. O governo federal precisa prover processos mais robustos de proteção cibernética", diz.
Os problemas de segurança vão além da invasão de hackers, dizem os especialistas. O fundador da HarpiaTech destaca que existem algumas versões de bases do CadSUS (Cadastro Nacional de Usuários do SUS) que circulam há bastante tempo entre atores maliciosos na internet e são permanentemente atualizadas. "Isso provavelmente aponta para agentes internos, de pessoas que têm acesso a essas bases e de alguma maneira colaboram com atividades criminosas. A base do CadSUS é muito sensível porque tende a ter dados recentes - o cidadão vai tomar a vacina e passa as informações atualizadas", afirma. / COLABORARAM EDUARDO RODRIGUES E JULIA AFFONSO
-t4tfubgurz37.jpg)
