O vírus informático que paralisou os hospitais  CUF

O grupo foi atacado a 3 de agosto e os computadores de serviço ficaram bloqueados. Empresa responsável garante que não houve dados comprometidos

Passava meia hora das quatro da tarde de sexta-feira 3 de agosto quando soou o alerta: alguns dos sistemas informáticos dos hospitais da CUF, uma das maiores redes privadas de saúde do país e que pertence ao grupo José de Mello Saúde (JMS), ficaram bloqueados. Os funcionários foram informados de que, por precaução, teriam de desligar os computadores. O azar tinha batido à porta. Os hospitais CUF eram alvo de um ataque informático protagonizado por um vírus conhecido como SamSam, que pertence à categoria dos ransomware, o que, traduzindo, significa que os dados de um computador são bloqueados e é pedido um resgate - neste caso na criptomoeda bitcoin - para os libertarem.

Na prática, os dados dos sistemas afetados ficam trancados por uma combinação única de caracteres (uma cifra) e só o atacante tem a chave que pode fazer esse desbloqueio - os hackers não conseguem aceder à informação, pelo que não há risco no que à proteção de dados diz respeito; mas simplesmente impedem que quem devia poder aceder-lhes (médicos, por exemplo) o faça. No computador da vítima aparece uma mensagem com os passos necessários para recuperar os documentos e os ficheiros.

O que os informáticos do JMS e os peritos das autoridades vão acabar por descobrir é que o ataque não terá começado naquela sexta-feira, mas provavelmente muitos meses antes. "Normalmente o atacante entra no sistema e faz uma investigação sobre a vítima. Uma vez que tem toda a informação e encontra o equipamento mais vulnerável, executa o ransomware. Pode permanecer escondido durante um ano e durante esse tempo vai investigar, recolher informação e localizar vulnerabilidades de sistemas", explica Ivan Mateo Pascual, engenheiro da empresa de segurança informática Sophos.

A tecnológica britânica dedicou seis meses de trabalho ao SamSam, pelo perfil quase único deste ransomware. Trata-se de um vírus que envolve muito trabalho manual do atacante. É direcionado de forma específica para cada uma das vítimas, o que leva a acreditar que os hospitais CUF estavam referenciados há algum tempo. E como é um trabalho quase de artesão, o preço a pagar pelas vítimas também acaba por ser mais elevado.

"Um ransomware normalmente pede 300 a 500 euros de resgate. A média dos resgates que pede o SamSam ronda os 45 mil euros", revela Ivan Mateo Pascual.

Um em cada quatro paga o resgate

O SamSam surgiu em 2015 e destaca-se de outros vírus por não estar à venda na dark web para que qualquer um o possa usar. Ao contrário de outros criminosos, quem usa o SamSam também não se gaba publicamente dos resultados - apesar de já ter motivos para isso. O estudo da Sophos revela que, em pouco mais de dois anos, o SamSam conseguiu sacar 5,2 milhões de euros às suas vítimas. Por escolher de forma criteriosa os alvos de ataque, como organizações ligadas ao setor público ou à área da saúde, tem uma alta taxa de conversão no pagamento de resgates. "Estima-se que em cada quatro vítimas do SamSam haja um pagamento de resgate", salienta o perito da Sophos.

O SamSam tem ainda outra particularidade, que acabou por não se concretizar no caso CUF: ataca de noite, quando já quase ninguém está em frente ao computador, para poder infetar o maior número de máquinas possível e para que não haja uma resposta pronta. O grupo José de Mello Saúde acabou por ter sorte: como o ataque aconteceu a meio da tarde, foi possível responder de forma rápida ao incidente. "Temos sistemas de segurança informáticos muito desenvolvidos, o que nos permitiu ter uma resposta célere e robusta na deteção e controlo do vírus", garantiu a empresa, em resposta enviada por e-mail. A ameaça ficou contida.

Mesmo assim, os hospitais CUF viram-se obrigados a desmarcar consultas e exames considerados não urgentes e a plataforma My CUF, direcionada para os utentes, privou os utilizadores de acederem ao seu histórico de exames. Ao DN Insider, o grupo JMS explicou que o regresso à normalidade vai "decorrer nesta semana". A empresa garante que o atacante não teve acesso a dados, ainda assim o caso foi "comunicado à Comissão Nacional de Proteção de Dados".

O jogo do gato e do rato

No primeiro trimestre, os sistemas da cidade de Atlanta e do Departamento de Transportes do Colorado, nos EUA, ficaram paralisados, cortesia do SamSam. Os gastos para resolver o problema - não para pagar o resgate - chegaram a três milhões de euros.

Apesar do impacto dos ataques feitos por ransomware, o bloqueio dos computadores pode ser resolvido com um restauro de dados, se houver uma cópia de segurança atualizada. "Mais de metade das empresas não têm uma solução anti-ransomware, e isto é imprescindível", sublinha a Sophos.

No caso que envolveu os hospitais CUF, o grupo José de Mello Saúde não comenta qualquer questão relacionada com o tópico do resgate. O que a empresa diz é que está totalmente focada "na reposição da completa normalidade do sistema". Também não fala sobre a possível causa do ataque. Mas sabendo como o SamSam ataca lá fora, é possível perceber como o terá feito. "Existem vários vetores de ataque, como os de força bruta [tentativas sucessivas de acesso] ou a exploração de vulnerabilidades a máquinas com acesso remoto, protocolo de transferência de ficheiros ou alguns servidores aplicacionais", explicou o Centro Nacional de Cibersegurança (CNCS).

A entidade pública foi notificada logo na sexta-feira do ataque e desde então tem estado a trabalhar em conjunto com o grupo JMS e com a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T), da Polícia Judiciária (PJ), na investigação do caso.

Só quando a análise forense estiver concluída é que haverá certezas sobre como o vírus entrou nos hospitais da CUF. Quando for identificada a porta de entrada do SamSam, então começa outro desafio tão ou mais complexo: tentar encontrar pequenas migalhas que ajudem a identificar o autor do ataque. "A atribuição dos ataques é um dos aspetos mais complexos a identificar e requer uma análise profunda e demorada dos registos que ficaram entretanto no sistema", adianta, desde já, o CNCS.

Carlos Cabreiro, diretor da UNC3T, confirma que as características únicas do SamSam não vão tornar fácil a investigação. "Não temos uma característica comum ao ataque, pode haver alvos diferenciados, não ataca vulnerabilidades que de alguma forma já vão sendo conhecidas", refere.

A José de Mello Saúde confirma que foi apresentada queixa na Polícia Judiciária e que, além da cooperação com o CNCS, também está em contacto com o Centro Europeu de Cibersegurança e com "múltiplos parceiros especialistas nesta área".

PJ e Europol em cima

Dois anos e milhões de euros de prejuízo depois, ainda não há ideia de quem possa estar por trás desta arma. A Sophos diz mesmo que o ransomware pode não ser controlado por um grupo de piratas informáticos, mas por uma única pessoa.

"O objetivo principal, como investigação criminal, é chegar à determinação da autoria dos factos. Por vezes pode estar complicada, pode estar encoberta, pode ter dificuldades acrescidas. Mas fruto da colaboração na área do malware com a Europol e com outros países, tenderemos a diminuir o fenómeno", diz Carlos Cabreiro.

O líder UNC3T diz que "as situações de malware são das que têm mais denúncias neste momento" e que esta é uma "preocupação constante" para a PJ.

Em Portugal, não há grande histórico deste vírus. O CNCS confirmou nunca ter recebido "qualquer outra notificação de casos associados ao ransomware SamSam".

Os poucos indícios que existem - como os erros ortográficos em inglês que surgem no ecrã dos computadores das vítimas - parecem sugerir que o autor do SamSam não é nativo da língua inglesa; potencialmente, será de um país de Leste. Por outro lado, essa também poderá ser uma técnica para desviar atenções.

No meio de tantas dúvidas relativamente ao SamSam, há pelo menos uma certeza: já descobriu o caminho para Portugal.

Ler mais

Exclusivos

Premium

Ricardo Paes Mamede

O populismo entre nós

O sucesso eleitoral de movimentos e líderes populistas conservadores um pouco por todo o mundo (EUA, Brasil, Filipinas, Turquia, Itália, França, Alemanha, etc.) suscita apreensão nos países que ainda não foram contagiados pelo vírus. Em Portugal vários grupúsculos e pequenos líderes tentam aproveitar o ar dos tempos, aspirando a tornar-se os Trumps, Bolsonaros ou Salvinis lusitanos. Até prova em contrário, estas imitações de baixa qualidade parecem condenadas ao fracasso. Isso não significa, porém, que o país esteja livre de populismos da mesma espécie. Os riscos, porém, vêm de outras paragens, a mais óbvia das quais já é antiga, mas perdura por boas e más razões - o populismo territorial.

Premium

João Gobern

Navegar é preciso. Aventuras e Piqueniques

Uma leitura cruzada, à cata de outras realidades e acontecimentos, deixa-me diante de uma data que, confesso, chega e sobra para impressionar: na próxima semana - mais exatamente a 28 de novembro - cumpre-se meio século sobre a morte de Enid Blyton (1897-1968). Acontece que a controversa escritora inglesa, um daqueles exemplos que justifica a ideia que cabe na expressão "vícios privados, públicas virtudes", foi a minha primeira grande referência na aproximação aos livros. Com a ajuda das circunstâncias, é certo - uma doença, chata e "comprida", obrigou-me a um "repouso" de vários meses, longe da escola, dos recreios e dos amigos nos idos pré-históricos de 1966. Esse "retiro" foi mitigado em duas frentes: a chegada de um televisor para servir o agregado familiar - com direito a escalas militantes e fervorosas no Mundial de Futebol jogado em Inglaterra, mas sobretudo entregue a Eusébio e aos Magriços, e os livros dos Cinco (no original The Famous Five), nada menos do que 21, todos lidos nesse "período de convalescença", de um forma febril - o que, em concreto, nada a tinha que ver com a maleita.

Premium

Henrique Burnay

O momento Trump de Macron

Há uns bons anos atrás, durante uns dias, a quem pesquisasse, no Yahoo ou Google, já não me lembro, por "great French military victories" era sugerido se não quereria antes dizer "great French military defeats". A brincadeira de algum hacker com sentido de ironia histórica foi mais ou menos repetida há dias, só que desta vez pelo presidente dos Estados Unidos, depois de Macron ter dito a frase mais grave que podia dizer sobre a defesa europeia. Ao contrário do hacker de há uns anos, porém, nem o presidente francês nem Donald Trump parecem ter querido fazer humor ou, mais grave, percebido a História e o presente.

Premium

Ruy Castro

Um Vinicius que você não conheceu

Foi em dezembro de 1967 ou janeiro de 1968. Toquei a campainha da casa na Gávea, bairro delicioso do Rio, onde morava Vinicius de Moraes. Vinicius, você sabe: o poeta, o compositor, o letrista, o showman, o diplomata, o boémio, o apaixonado, o homem do mundo. Ia entrevistá-lo para a Manchete, revista em que eu trabalhava. Um empregado me conduziu à sala e mandou esperar. De repente, passaram por mim, vindas lá de dentro, duas estagiárias de jornal ou, talvez, estudantes de jornalismo - lindas de morrer, usando perturbadoras minissaias (era a moda na época), sobraçando livros ou um caderno de anotações, rindo muito, e foram embora. E só então Vinicius apareceu e me disse olá. Vestia a sua tradicional camisa preta, existencialista, de malha, arregaçada nos cotovelos, a calça cor de gelo, os sapatos sem meias - e cheirava a talco ou sabonete, como se tivesse acabado de sair do banho.

Premium

Maria do Rosário Pedreira

Dispensar o real

A minha mãe levou muito a sério aquele slogan dos anos 1970 que há quem atribua a Alexandre O'Neill - "Há sempre um Portugal desconhecido que espera por si" - e todos os domingos nos metia no carro para conhecermos o país, visitando igrejas, monumentos, jardins e museus e brindando-nos no final com um lanche em que provávamos a doçaria típica da região (cavacas nas Caldas, pastéis em Tentúgal). Conheci Santarém muito antes de ser a "Capital do Gótico" e a Capela dos Ossos foi o meu primeiro filme de terror.

Premium

Adriano Moreira

Entre a arrogância e o risco

Quando foi assinada a paz, pondo fim à guerra de 1914-1918, consta que um general do Estado-Maior Alemão terá dito que não se tratava de um tratado de paz mas sim de um armistício para 20 anos. Dito ou criado pelo comentarismo que rodeia sempre acontecimentos desta natureza, o facto é que 20 anos depois tivemos a guerra de 1939-1945. O infeliz Stefan Zweig, que pareceu antever a crise de que o Brasil parece decidido a ensaiar um remédio mal explicado para aquela em que se encontra, escreveu no seu diário, em 3 de setembro de 1939, que a nova guerra seria "mil vezes pior do que em 1914".