A notícia foi divulgada logo no dia 2 de janeiro de manhã. Os sites da SIC e do Expresso, a TV e o Jornal do Grupo Impresa, mas também a plataforma OPTO tinham sido atacados por hackers e apresentavam uma mensagem dos hackers Lapsus$ Group, exigindo o pagamento de um resgate num típico modelo de ataque de ransomware.

“Os dados serão vazados caso o valor necessário não for pago. Estamos com acesso nos painéis de Cloud (AWS) entre outros tipos de dispositivos. O contacto para o resgate está abaixo”

A mensagem não deixa dúvidas sobre as intenções dos hackers que já tinham atacado em dezembro vários sites brasileiros, incluindo o Ministério da Saúde do Brasil e duas operadoras de telecomunicações sul americanas, a Claro e a Embratel, mas também a Secretaria do Governo e do Sistema de Administração dos Recursos de Tecnologia a Informação (SISP).

Para além dos sites o grupo terá tido acesso à conta de Twitter do Expresso, publicando a mensagem “Lapsus$ é oficialmente o novo presidente de Portugal” e convidando os leitores a juntarem-se ao grupo de Telegram onde têm sido divulgados os ataques.

Ainda no dia 2 de janeiro a Impresa admitiu o ataque de que foi alvo, considerando que este é um "atentado nunca visto à liberdade de imprensa em Portugal na era digital", e confirmando estar a trabalhar com a Polícia Judiciária e com o Centro Nacional de Cibersegurança. A empresa adianta ainda que vai apresentar uma queixa crime.

Três dias depois já muito se especulou sobre o ataque, a forma como os hackers poderão ter tido acesso aos sistemas, se a Impresa estava ou não preparada para resistir a um ataque informático, que bases de dados estarão encriptadas, que dados foram roubados e o que terá sido afetado. Mas só quem está por dentro da operação que tenta recuperar o controle dos sistemas é que sabe a extensão dos danos.

O certo é que os sites continuam offline, mantendo a mensagem que a Impresa colocou para substituir a do Lapsus$ Group, e que já foram enviadas mensagens de SMS para alguns assinantes do Expresso, o que indicia que os hackers tiveram acesso a informação dos utilizadores.

Por segurança o próprio Expresso está a pedir aos utilizadores para não acederem ou reencaminharem as mensagens que estão a ser enviadas em nome das marcas.

expresso mensagens ataque

O SAPO TEK sabe também que os efeitos do ataque vão mais além do que as páginas web, afetando os sistemas internos das redações da TV e do jornal, incluindo arquivos, emails e telefones dos jornalistas. As notícias continuam a ser divulgadas nas redes sociais e a emissão da TV continua, mas com grandes dificuldades e limitações.

Ataque típico de ransomware?

A atividade do Lapsus$ Group é relativamente recente e pouco conhecida, para além dos ataques no Brasil no início de dezembro, e as  principais dúvidas são se o grupo é mais ou menos profissional e se realmente executaram algum ransomware no servidor, como admitiram ao SAPO TEK os especialistas da Kaspersky. “Deixar notas e comentários nos sites, como os grupos de ransomware estão a fazer, pode ser apenas uma questão de atrair/chamar à atenção”, afirma Marc Rivero, analista da equipa de Análise e Investigação Global da GReAT da Kaspersky.

São conhecidas para já cinco vítimas, o Ministério da Saúde, Correios (correios.com.br), Claro, Embratel, NET e Impresa, e o grupo mantém o mesmo canal e email como pontos de comunicação desde o início dos ataques em dezembro.

“Os grupos de ransomware, por exemplo, mantêm sempre a mesma lista de vítimas (na grande maioria dos casos), outros vão mudando todos os anos, etc. Se o grupo (imaginamos) acabou de surgir e está interessado em chamar a atenção dos media, provavelmente vai pretender manter essa "lista"”, refere o analista, adiantando que “agora o que nos resta observar é se é um grupo mais ou menos profissional... ou pelo contrário, se vão ficar satisfeitos com estas "vítimas" e nunca mais teremos "paradeiro" deles”.

Sem conhecimento direto dos factos, a Kaspersky baseia a sua análise na informação que tem sido publicada na conta do Telegram e nos dados divulgado. “Com base nas notícias veiculadas, tanto do grupo Telegram, quanto de pesquisadores independentes, parece que o vetor de ataque inicial para algumas dessas vítimas seria do tipo "password spraying, onde são realizados ataques mais agressivos, e, se a vítima tiver senhas facilmente acessíveis, o invasor terá acesso total à conta em questão”, sublinha.

“Ao momento, podemos constatar que o grupo usou em alguns dos “ataques”, senhas mal configuradas ou uma configuração insegura na conta da cloud (autenticação multifator) para comprometer os diferentes ambientes”, acrescenta Marc Rivero.

Luis Lobo e Silva, managing partner da Focus2Comply, admite que pode ter sido usada uma vulnerabilidade do Apache, a Log4J, para a qual o CNCS já tinha emitido um alerta,  mas que com a informação que existe é muito difícil perceber como terá sido feita a intrusão. “Isso é uma questão a analisar depois de estar tudo resolvido, através da análise forense”, afirma, recordando que no caso do ataque à PLMJ a análise demorou muito meses para se perceber “que informação tinha sido comprometida, e que tipo de informação”, e admitindo que se calhar ainda não se sabe toda a extensão dos danos.

Log4Shell: O que precisa de saber sobre a vulnerabilidade que está a “incendiar” a Internet
Log4Shell: O que precisa de saber sobre a vulnerabilidade que está a “incendiar” a Internet
Ver artigo

Sem querer especular sobre o nível de preparação dos sistemas de informação da Impresa, ou sobre a razão para três dias depois o ataque ainda estar a paralisar a empresa, o especialista de segurança sublinha que ninguém está 100% seguro, e que as organizações devem ter uma boa análise de risco, boas práticas de gestão de risco e um plano de continuidade e recuperação do negócio, com várias camadas de intervenção, entre os quais a identificação de ativos de informação críticos, backups e honey pots. “As empresas têm de se adaptar e a cibersegurança não é só tecnologia”, refere, lembrando que a tecnologia não resolve tudo e que há uma componente humana e de processos e procedimentos. “Tem de se criar rotinas, procedimentos de monitorização e alertas de atividades anormais”, lembra.

Para Luis Lobo e Silva as organizações têm de estar alerta e deixar de pensar na cibersegurança como um custo. Para além do custo da reputação que é afetada por um ataque como este há os prejuízos financeiros a ter em conta depois de três dias com os sites em baixo, afirma.

“Este caso pode servir de exemplo para as empresas que não querem investir em cibersegurança mas não veem o que podem perder”, justifica Luis Lobo e Silva

O managing partner da Focus2Comply lembra que a legislação impõe às organizações públicas e operadores críticos um conjunto de obrigações de cibersegurança mas que outras empresas, nomeadamente os meios de comunicação social, também podem aplicar voluntariamente as mesmas normas. “A Impresa refere este ataque como um atentado à liberdade de imprensa, mas não sabemos até que ponto pode ser um ataque coordenado”, afirma, admitindo que os hackers poderiam até manter acesso aos sistemas para publicar fake news, um risco que não está fora de causa.

Quais são as tendências que vão marcar o panorama da cibersegurança em 2022?
Quais são as tendências que vão marcar o panorama da cibersegurança em 2022?
Ver artigo

O Centro Nacional de Cibersegurança (CNCS) e a Polícia Judiciária já confirmaram ao SAPO TEK que estão a acompanhar a investigação do ataque, mas para já não adiantam detalhes adicionais, nem se pronunciam sobre a possibilidade de este ser apenas uma primeira ação do grupo em Portugal, que pode ter ainda desenvolvimentos, como aconteceu no Brasil.

As duas organizações têm reconhecido que o ransomware é um dos tipos de ameaças que tem crescido mais rapidamente e afetado empresas e particulares, mas não há dados sobre o impacto destes ataques, até porque muitos acabam por não ser divulgados e não se sabe se as empresas pagam os resgates ou conseguem recuperar acesso aos dados.

Rui Pinto, whistleblower e hacker que denunciou casos como os Football Leaks, Luanda Leaks e Malta Files já se pronunciou sobre o caso no Twitter, afirmando que "Só uma mente muito retorcida consegue fazer uma ligação entre o tipo de crimes pelo qual sou acusado, e ataques devastadores de Ransomware como o que atingiu a Impresa, e que nos últimos meses inoperabilizou hospitais, oleodutos e outros sectores estratégicos de vários países."

Sou assinante da Impresa, os meus dados podem estar comprometidos?

Para além da recuperação dos sistemas e dados da Impresa, da SIC, Expresso e Blitz, a preocupação estende-se também aos utilizadores dos sites, que estão entre os mais bem sucedidos numa estratégia de monetização do acesso às notícias online, no caso do Expresso, e na plataforma de streaming de conteúdos, a OPTO da SIC.

Phishing, ransomware e fake news: as muitas ameaças que se escondem dentro do mundo digital
Phishing, ransomware e fake news: as muitas ameaças que se escondem dentro do mundo digital
Ver artigo

Vários testemunhos têm dados conta de SMS enviados a assinantes dos serviços, com informação do ataque do Lapsus$ Group, o que pode indiciar que as bases de dados de clientes estejam comprometidas, com os emails, telefones e passwords associadas.

Nestes casos o primeiro conselho para os utilizadores é para mudarem as suas passwords, e verificarem que não usam as mesmas palavras passe noutros serviços online, o que é bastante comum. Se os dados tiverem sido acedidos podem ser usados para entrar noutros serviços ou para mobilizar ataques de phishing para recolher mais informação.

Quer para os particulares quer para as empresas, a prevenção é sempre a melhor política na segurança online, evitando passwords fracas ou repetidas, não seguindo ligações suspeitas em emails ou mensagens e atualizando os sistemas sempre que há um novo update de segurança.

Na lista das piores passwords de 2021 estão palavras como “12345”, “maria” e “benfica” e é fácil ver porque devem ser evitadas.

Nota da Redação: foi feita uma correção ao texto