Estadão

Ministério foi alvo de ransomware? Especialistas dizem que é preciso investigar mais

No recado deixado no portal do Ministério da Saúde, os criminosos afirmaram que a invasão se tratava de um ataque do tipo "ransomware": eles disseram ter copiado e excluído 50 TB (terabytes) de dados e pediram resgate. Para especialistas ouvidos pelo <b>Estadão</b>, porém, ainda é preciso investigar o caso para saber se houve de fato roubo de informações.

O ataque de ransomware é aquele em que os criminosos sequestram dados da vítima, bloqueiam os sistemas e pedem resgate em dinheiro – o nome ransom, em inglês, significa o pagamento para libertar um refém. No ransomware, os criminosos geralmente usam programas maliciosos que, por meio de criptografia, bloqueiam o acesso das vítimas a seus arquivos. A infecção se dá principalmente por vulnerabilidades em programas desatualizados, uso de senhas fracas e arquivos maliciosos enviados por e-mail (que são acessados por funcionários ou membros da instituição alvo do ataque).

<b>CIBERATAQUE</b>

No caso do ataque ao Ministério da Saúde, ainda não há provas de que os dados da pasta foram sequestrados. Por enquanto, o único indício de que isso aconteceu foi a própria mensagem postada pelos criminosos. "Já tivemos casos que pareciam ransomware, mas que depois não se confirmaram", afirma Felipe Daragon, fundador da empresa especializada em cibersegurança Syhunt.

Até o momento, é possível afirmar que houve um ataque ao sistema DNS, que é o responsável por direcionar os usuários a plataformas na internet. Em outras palavras, o DNS leva o usuário do domínio "www" para um endereço de IP, que é o "RG" que cada site ganha ao se hospedar na internet. O que os criminosos fizeram ontem foi interceptar o caminho entre o endereço "saude.gov.br" e o site do Ministério da Saúde, direcionando a página para o recado dos hackers – o IP detectado para esta página indicava um registro em Tóquio.

Segundo especialistas em cibersegurança, embora o ataque DNS envolva algum tipo de comprometimento dos sistemas do Ministério a partir de uma falha de segurança, isso não necessariamente envolve o roubo ou comprometimento de informações.

"Sabemos que os criminosos em algum momento estiveram de posse do domínio do Ministério da Saúde, incluindo o de e-mails. Mas ainda não há comprovações de que houve roubo das informações", afirma Jéferson Campos Nobre, que é professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS).

De acordo com pessoas ouvidas pela reportagem com acesso aos sistemas internos, os dados sobre a aplicação de vacina contra a covid na população estão armazenados em blockchain – um banco de dados descentralizado, que usa criptografia, e, portanto, mais seguro. Apesar da invasão, as informações do Conecte SUS não teriam sido apagadas.

Levantou-se a suspeita de roubo de dados porque os usuários tiveram problemas em buscar recursos como o comprovante de imunização contra a covid-19.

Especialistas, entretanto, afirmam que esse fato, sozinho, não comprovaria um ataque no formato ransomware. "Esse tipo de problema pode ser decorrente inclusive desse ataque de DNS e de alguma questão interna do aplicativo, que não está conseguindo acessar essas informações", afirma o professor Nobre.

<b>COMPROVANTE</b>

A princípio, a falha na consulta do comprovante de vacinação poderia ser explicada, então, pela dificuldade de comunicação com o servidor do Ministério da Saúde. Ou seja, o usuário tem a sua rota desviada da informação que está hospedada no servidor do ministério.

O caso, porém, necessita de mais investigação. De acordo com especialistas, o número de 50 TB divulgado pelos supostos autores seria considerado grande demais para bases de dados de uma única instituição – esse poderia ser mais um indício que de não houve acesso às informações.

As informações são do jornal <b>O Estado de S. Paulo.</b>

Posso ajudar?