Depois do ataque de 1 de janeiro os sites do Grupo Impresa voltaram ontem a ficar disponíveis, no mesmo endereço mas em formato provisório e sem as funcionalidades habituais.

Questionado sobre se estes ataques informáticos podem alastrar-se a outras empresas em Portugal, Pedro Leite, administrador com pelouro das operações (COO) da S21sec, refere que "o risco de ter um ciberataque é permanente e qualquer empresa poderá sofrer um ataque de ransomware, sendo apenas uma questão de tempo até acontecer".

O Grupo Lapsus$, responsável pelo ciberataque à Impresa, "tem atacado durante o mês de dezembro empresas brasileiras, mas ao efetuar este ataque em Portugal pode efetivamente tentar atacar outras empresas portuguesas e, por isso, temos de estar vigilantes", defende o administrador.

"Como empresa especializada em cibersegurança, a S21sec recomenda vivamente que as empresas portuguesas melhorem a sua postura em cibersegurança, sendo que uma das boas práticas recai no desenvolvimento de procedimentos de resposta a incidentes deste tipo", salienta Pedro Leite.

Para Rui Duro, country manager da Check Point Software em Portugal, "o risco deste tipo de situações impactar empresas portuguesas existe desde sempre". Atualmente, destaca, "uma organização em Portugal está a ser atacada em média 947 vezes por semana, sendo o ransomware uma das principais ameaças". Em média 1,7% delas "é impactada por semana por ransomware", sendo que este tipo de ataques "tem se alastrado e vai continuar a alastrar-se pelas empresas em Portugal e no mundo".

"Por enquanto, os alvos que atacaram não têm relação aparente entre eles, então supomos que o grupo tentará afetar empresas que, uma vez comprometidas, podem dar aquele 'empurrão mediático' que o grupo parece estar à procura", acrescenta Marc Rivero, analista da equipa de análise e investigação global da GReAT da Kaspersky.

Sobre o Grupo Lapsus$, sabe-se que tem estado ativo desde o "início de dezembro e, até à data, é um novo player no mercado do cibercrime, mas a sua atividade está a ser monitorizada", aponta Rivero,

Três dias depois sites da Impresa continuam offline. O que se sabe do ataque do Lapsus$ Group?
Três dias depois sites da Impresa continuam offline. O que se sabe do ataque do Lapsus$ Group?
Ver artigo

"Através do nosso departamento de ciberinteligência verificamos que este grupo tem estado ativo desde 10 de dezembro de 2021, quando efetuaram um ataque ao Ministério da Saúde do Brasil", sendo que "neste caso em concreto tiveram acesso aos servidores AWS do ministério, iniciando o ataque através da exfiltração e respetiva eliminação dos dados, possibilitando de seguida o pedido de um resgate para a sua recuperação", conta Pedro Leite. "Desde essa altura já identificamos outros ataques, maioritariamente a empresas brasileiras".

Já existe um perfil do Lapsus$, mas "a perfilagem total e a identificação dos elementos deste grupo não é simples" e poderá levar meses até se conseguir obter informação, "até chegar a uma cara", salienta Rui Duro.

Os ataques de ransomware "são muito comuns nos últimos anos e surgem porque os cibercriminosos exploram as vulnerabilidades das empresas (infraestruturas/aplicações e principalmente dos próprios utilizadores/colaboradores da organização), conseguindo obter acessos que permitem comprometer os sistemas", prossegue Pedro Leite.

Depois disso dão início à exploração do ataque através de malware e, apesar de haver mecanismos de deteção e proteção, estes "podem não ser 100% fiáveis porque os atacantes" estão sempre a aperfeiçoar as técnicas, refere.

"Idealmente, as empresas estariam protegidas contra este tipo de ataques", mas, "atualmente, as ameaças adquirem uma sofisticação tal que apenas uma abordagem proativa e preventiva contra este tipo de situações pode evitar" que se tornem alvo, acrescenta Rui Duro.

Marc Rivero salienta que as empresas que "não seguem as boas práticas de segurança cibernética podem estar sujeitas a ataques deste tipo". No entanto, "no caso deste grupo, dos vetores que foram observados em fontes abertas, eles utilizaram 'passwords' fracas para aceder a determinados recursos partilhados pela empresa vítima".

Os ataques de ransomware "estão cada vez mais em voga e têm impactado infraestruturas cada vez mais críticas", reforça Rui Duro. Em Portugal, a "grande maioria dos ataques (90%, para ser mais específico) iniciam-se com um simples email", "começando com um 'software' malicioso que se instala no dispositivo e que permite aos atacantes ganhar tempo para, subreticiamente, conhecerem o seu alvo, as formas de atuação" e os procedimentos internos.

O momento para atacar "não é fruto do acaso" e as "férias, épocas festivas, fins-de-semana são alturas especialmente apetecíveis para implementar ataques", diz Rui Duro.

Sobre se os dados dos clientes da Impresa podem estar comprometidos, Pedro Leite refere que "tudo depende da informação a que os atacantes tiveram acesso".

Impresa confirma ataque informático à SIC e Expresso e vai apresentar queixa crime contra o Lapsus$ Group
Impresa confirma ataque informático à SIC e Expresso e vai apresentar queixa crime contra o Lapsus$ Group
Ver artigo

Em ataques deste género, "não só os dados pessoais do utilizador podem ser comprometidos, como também a propriedade intelectual da empresa em questão", aponta Marc Rivero, com Rui Duro a salientar que para responder à questão é preciso conhecer "ao pormenor os vetores de ataque" e os sistemas infetados em específico.

Após um ciberataque, "primeiro são analisados todos os sistemas, com o intuito de encontrar outras possíveis violações de segurança, o que não significa necessariamente que o dano foi grande ou pequeno", explica Marc Rivero.

Rui Duro afirma que as proporções do ataque não podem ser vistas "pelo tempo de demora de recuperação, mas sim pela extensão do mesmo", sendo "sempre necessário efetuar uma extensa atividade de pesquisa forense, que leva o seu tempo e que não pode nem deve ser apressado".

Já Pedro Leite sublinha que para repor novamente os serviços é preciso saber como foi efetuado o ataque, para evitar um novo, e "garantir que a informação" que vai ser reposta é efetuada "numa infraestrutura que não esteja comprometida", atividades que "demoram tempo".

Sobre o tempo de recuperação de um ataque, este "pode ser longo", aponta Pedro Leite, citando que "existem alguns dados estatísticos que indicam que em média são precisos 78 dias (...) para detetar e conter uma quebra de segurança".

Superar um ataque de ransomware é como recuperar da destruição de um incêndio: A realidade das vítimas
Superar um ataque de ransomware é como recuperar da destruição de um incêndio: A realidade das vítimas
Ver artigo

Depende "muito do impacto do ataque recebido, da capacidade de resiliência da empresa afetada e da sua maturidade no domínio da cibersegurança", pelo que não é possível "dar uma data sequer estimada", refere Marc Rivero.

"Temos exemplos de casos de ataques ransomware que demoraram duas semanas a solucionar, como outros em que passados três meses os sistemas ainda não se encontram totalmente funcionais", dependendo do grau de complexidade e impacto nos sistemas críticos da empresa, aponta Rui Duro, salientando que depende também do "tempo que a restauração dos serviços críticos exige, bem como das práticas de segurança que a empresa tem implementadas ou não, como por exemplo a realização de 'backups' regulares".