O vírus informático que paralisou os hospitais CUF
Passava meia hora das quatro da tarde de sexta-feira 3 de agosto quando soou o alerta: alguns dos sistemas informáticos dos hospitais da CUF, uma das maiores redes privadas de saúde do país e que pertence ao grupo José de Mello Saúde (JMS), ficaram bloqueados. Os funcionários foram informados de que, por precaução, teriam de desligar os computadores. O azar tinha batido à porta. Os hospitais CUF eram alvo de um ataque informático protagonizado por um vírus conhecido como SamSam, que pertence à categoria dos ransomware, o que, traduzindo, significa que os dados de um computador são bloqueados e é pedido um resgate - neste caso na criptomoeda bitcoin - para os libertarem.
Na prática, os dados dos sistemas afetados ficam trancados por uma combinação única de caracteres (uma cifra) e só o atacante tem a chave que pode fazer esse desbloqueio - os hackers não conseguem aceder à informação, pelo que não há risco no que à proteção de dados diz respeito; mas simplesmente impedem que quem devia poder aceder-lhes (médicos, por exemplo) o faça. No computador da vítima aparece uma mensagem com os passos necessários para recuperar os documentos e os ficheiros.
O que os informáticos do JMS e os peritos das autoridades vão acabar por descobrir é que o ataque não terá começado naquela sexta-feira, mas provavelmente muitos meses antes. "Normalmente o atacante entra no sistema e faz uma investigação sobre a vítima. Uma vez que tem toda a informação e encontra o equipamento mais vulnerável, executa o ransomware. Pode permanecer escondido durante um ano e durante esse tempo vai investigar, recolher informação e localizar vulnerabilidades de sistemas", explica Ivan Mateo Pascual, engenheiro da empresa de segurança informática Sophos.
A tecnológica britânica dedicou seis meses de trabalho ao SamSam, pelo perfil quase único deste ransomware. Trata-se de um vírus que envolve muito trabalho manual do atacante. É direcionado de forma específica para cada uma das vítimas, o que leva a acreditar que os hospitais CUF estavam referenciados há algum tempo. E como é um trabalho quase de artesão, o preço a pagar pelas vítimas também acaba por ser mais elevado.
"Um ransomware normalmente pede 300 a 500 euros de resgate. A média dos resgates que pede o SamSam ronda os 45 mil euros", revela Ivan Mateo Pascual.
O SamSam surgiu em 2015 e destaca-se de outros vírus por não estar à venda na dark web para que qualquer um o possa usar. Ao contrário de outros criminosos, quem usa o SamSam também não se gaba publicamente dos resultados - apesar de já ter motivos para isso. O estudo da Sophos revela que, em pouco mais de dois anos, o SamSam conseguiu sacar 5,2 milhões de euros às suas vítimas. Por escolher de forma criteriosa os alvos de ataque, como organizações ligadas ao setor público ou à área da saúde, tem uma alta taxa de conversão no pagamento de resgates. "Estima-se que em cada quatro vítimas do SamSam haja um pagamento de resgate", salienta o perito da Sophos.
O SamSam tem ainda outra particularidade, que acabou por não se concretizar no caso CUF: ataca de noite, quando já quase ninguém está em frente ao computador, para poder infetar o maior número de máquinas possível e para que não haja uma resposta pronta. O grupo José de Mello Saúde acabou por ter sorte: como o ataque aconteceu a meio da tarde, foi possível responder de forma rápida ao incidente. "Temos sistemas de segurança informáticos muito desenvolvidos, o que nos permitiu ter uma resposta célere e robusta na deteção e controlo do vírus", garantiu a empresa, em resposta enviada por e-mail. A ameaça ficou contida.
Mesmo assim, os hospitais CUF viram-se obrigados a desmarcar consultas e exames considerados não urgentes e a plataforma My CUF, direcionada para os utentes, privou os utilizadores de acederem ao seu histórico de exames. Ao DN Insider, o grupo JMS explicou que o regresso à normalidade vai "decorrer nesta semana". A empresa garante que o atacante não teve acesso a dados, ainda assim o caso foi "comunicado à Comissão Nacional de Proteção de Dados".
No primeiro trimestre, os sistemas da cidade de Atlanta e do Departamento de Transportes do Colorado, nos EUA, ficaram paralisados, cortesia do SamSam. Os gastos para resolver o problema - não para pagar o resgate - chegaram a três milhões de euros.
Apesar do impacto dos ataques feitos por ransomware, o bloqueio dos computadores pode ser resolvido com um restauro de dados, se houver uma cópia de segurança atualizada. "Mais de metade das empresas não têm uma solução anti-ransomware, e isto é imprescindível", sublinha a Sophos.
No caso que envolveu os hospitais CUF, o grupo José de Mello Saúde não comenta qualquer questão relacionada com o tópico do resgate. O que a empresa diz é que está totalmente focada "na reposição da completa normalidade do sistema". Também não fala sobre a possível causa do ataque. Mas sabendo como o SamSam ataca lá fora, é possível perceber como o terá feito. "Existem vários vetores de ataque, como os de força bruta [tentativas sucessivas de acesso] ou a exploração de vulnerabilidades a máquinas com acesso remoto, protocolo de transferência de ficheiros ou alguns servidores aplicacionais", explicou o Centro Nacional de Cibersegurança (CNCS).
A entidade pública foi notificada logo na sexta-feira do ataque e desde então tem estado a trabalhar em conjunto com o grupo JMS e com a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), da Polícia Judiciária (PJ), na investigação do caso.
Só quando a análise forense estiver concluída é que haverá certezas sobre como o vírus entrou nos hospitais da CUF. Quando for identificada a porta de entrada do SamSam, então começa outro desafio tão ou mais complexo: tentar encontrar pequenas migalhas que ajudem a identificar o autor do ataque. "A atribuição dos ataques é um dos aspetos mais complexos a identificar e requer uma análise profunda e demorada dos registos que ficaram entretanto no sistema", adianta, desde já, o CNCS.
Carlos Cabreiro, diretor da UNC3T, confirma que as características únicas do SamSam não vão tornar fácil a investigação. "Não temos uma característica comum ao ataque, pode haver alvos diferenciados, não ataca vulnerabilidades que de alguma forma já vão sendo conhecidas", refere.
A José de Mello Saúde confirma que foi apresentada queixa na Polícia Judiciária e que, além da cooperação com o CNCS, também está em contacto com o Centro Europeu de Cibersegurança e com "múltiplos parceiros especialistas nesta área".
Dois anos e milhões de euros de prejuízo depois, ainda não há ideia de quem possa estar por trás desta arma. A Sophos diz mesmo que o ransomware pode não ser controlado por um grupo de piratas informáticos, mas por uma única pessoa.
"O objetivo principal, como investigação criminal, é chegar à determinação da autoria dos factos. Por vezes pode estar complicada, pode estar encoberta, pode ter dificuldades acrescidas. Mas fruto da colaboração na área do malware com a Europol e com outros países, tenderemos a diminuir o fenómeno", diz Carlos Cabreiro.
O líder UNC3T diz que "as situações de malware são das que têm mais denúncias neste momento" e que esta é uma "preocupação constante" para a PJ.
Em Portugal, não há grande histórico deste vírus. O CNCS confirmou nunca ter recebido "qualquer outra notificação de casos associados ao ransomware SamSam".
Os poucos indícios que existem - como os erros ortográficos em inglês que surgem no ecrã dos computadores das vítimas - parecem sugerir que o autor do SamSam não é nativo da língua inglesa; potencialmente, será de um país de Leste. Por outro lado, essa também poderá ser uma técnica para desviar atenções.
No meio de tantas dúvidas relativamente ao SamSam, há pelo menos uma certeza: já descobriu o caminho para Portugal.