Não é ainda possível perceber a dimensão total do ataque que afeta os serviços de autenticação e vários sites do Governo, mas tudo indica que se trata de uma pura campanha de ransomware, como adiantaram alguns especialistas já contactados pelo SAPO TEK. Ainda não temos confirmação sobre se já foram feitos contactos para pagamento de um resgate. 

As perturbações foram identificadas pelo SAPO TEK cerca de 11h30 da manhã, quando os serviços de assinatura digital, ligados à Autenticação.Gov e Gov.ID ficaram indisponíveis. Uma investigação rápida confirmou que também o Portal Gov.pt e o site da AMA estavam offline, mas sem ainda indicação das causas.

Contactados os serviços não foi dada resposta imediata mas a confirmação de que se tratava de um ataque de ransomware veio da parte do Centro Nacional de Cibersegurança (CNCS), que está a dar apoio à Agência para a Modernização Administrativa (AMA).

Veja na galeria imagens dos serviços em baixo:

Na nota enviada às redações, o Centro Nacional de Cibersegurança diz que foi notificado do incidente de ransomware que comprometeu as infraestruturas geradas pela AMA. Este teve "um impacto substancial ao nível dos serviços suportados por esta entidade, tais como a Autenticação.Gov e o Gov.ID. O CERT.PT está a acompanhar o incidente e a prestar apoio ao nível das medidas de mitigação e na fase de recuperação", lê-se na declaração oficial.

A Agência para a Modernização Administrativa (AMA), que gere a rede de interoperabilidade, os serviços de autenticação digital, entre os quais a Chave Móvel Digital e o portal Gov.pt, diz em comunicado que "se encontra com uma disrupção na sua rede em virtude de um ataque informático". E adiciona que "está, por isso, preventivamente, indisponível o acesso a diversas plataformas e serviços digitais que podem ter impacto direto na atividade de várias entidades públicas e privadas", mas sem referir o ataque de ransomware.

Segundo a organização "foram ativados de imediato os protocolos de segurança para responder a este tipo de ataques, de modo a restabelecer a normalidade de todas as operações, estando igualmente envolvidas as autoridades nacionais competentes em matéria de cibercrime".

O SAPO TEK já contactou vários especialistas em cibersegurança para perceber o impacto e eventuais ligações à apresentação do Orçamento de Estado que está a acontecer hoje, mas tudo indica que se trata de uma pura campanha de ransomware, onde os atacantes bloqueiam o acesso aos sites e às bases de pedindo o pagamento de um resgate. 

O ransomware é um ataque através de malware que encripta a informação da vítima ou organização. Esses dados são críticos ao funcionamento e não podem ser acedidos, sejam ficheiros, bases de dados ou aplicações. A palavra ransom significa resgate, um valor que é pedido pelos hackers às organizações e vítimas para desbloquear essa informação.

Em Portugal, instituições, organizações e empresas foram vítimas de ataques devastadores de ramsomware. O caso Vodafone é talvez o maior dos últimos anos, ocorrido em fevereiro de 2022, onde milhares de clientes deixaram de ter acesso aos serviços da operadora, demorando alguns dias até ter restaurado os sistemas.

Os websites do Grupo Impresa também foram vítimas de ransomware, tendo ficado offline vários dias e com regresso em formato provisório. Neste caso, o ciberataque foi realizado pelo Lapsus$ Group, tendo exigido o pagamento de um resgate. O Jornal i também foi vítima de um ataque informático que bloqueou o sistema de produção e gestão de conteúdos em setembro de 2022.

Nota de redação: Notícia atualizada com mais informação. Última atualização: 16:39. O SAPO TEK vai continuar a acompanhar o caso e aguarda o comentário de especialista em cibersegurança.