Por Rui Martins (*)

A 6 de abril vários sites do Ministério da Economia foram vítimas de um "ataque informático parcial" que, a 7, já teria sido recuperado em 85% e cujo alcance teria sido "contido" por "medidas preventivas" (provavelmente via um rápido desligamento de máquinas e serviços). Um dos sites que continua inacessível é o do Turismo de Portugal (http://www.turismodeportugal.pt) que às 1300 de 10 de abril (5 dias depois) continuava inacessível.

Este site assenta no IP 195.225.181.134 e noutros endereços próximos encontramos outros sites do Ministério que também continuam com problemas:
195.225.181.143 portuguesemusicfestivals.com (a funcionar)
195.225.182.8 iapmei.pt (em baixo: com erro de forward)
195.225.180.70 sgeconomia.gov.pt (a funcionar mas com certificado inválido: talvez devido a reposição incompleta ou ainda em curso)
195.225.181.118 impic.pt (em baixo: com erro 403)
195.225.182.10 innovationscoring.eu (a funcionar)
195.225.180.119 asae.gov.pt (em baixo: com erro de forward)
195.225.181.134 turismodeportugal.pt (erro: com "read error")
195.225.181.138 visitportugal.com (a funcionar)
195.225.181.229 zonaslivrestecnologicas.pt (a funcionar)
195.225.182.14 startupvisa.pt (a funcionar)
Fonte: https://ipinfo.io/AS202277/195.225.180.0/22#block-domains

Entre os sites em baixo e em cima encontramos sites em máquinas Ubuntu e outros em máquinas Windows (IIS) pelo que o ataque não deve ter tido uma abrangência total dado que as máquinas mais provavelmente atacadas (as Windows) não o foram na sua totalidade: provavelmente porque a rede estava devidamente segmentada.

A alegação oficial era de que o ataque "não comprometeu dados" mas em alguns sites eram fornecidos serviços online nomeadamente nos que ainda estão agora offline:

iapmei.pt:
"SERVIÇOS ONLINE
Certificação PME
MAP - Mecanismo de Alerta Precoce
Plataforma para compensação da RMMG"
https://arquivo.pt/wayback/20220804044846/https://www.iapmei.pt/

sgeconomia.gov.pt:
"denúncias e queixas":
https://arquivo.pt/wayback/20220802064211/https://www.sgeconomia.gov.pt/denuncias-queixas1.aspx

asae.gov.pt:
"Área Reservada"
https://arquivo.pt/wayback/20220801173833/https://www.asae.gov.pt/

Isto mostra que em qualquer um destes exemplos há dados confidenciais ou securizados através de processos de autenticação (Estariam protegidos mecanismos de dupla autenticação?). Se conforme consta nas notícias na origem deste incidente esteve, de facto, "um programa nocivo que bloqueia o sistema até que o resgate seja pago", ou seja, um ransomware que, aparentemente, não terá sido pago (uma tendência que - felizmente - tem aumentado nos últimos meses).

Se houve encriptação de ficheiros, houve acesso a dados e - nestes casos - ocorre quase sempre exflitração de dados ou para provar a posse dos ditos ou para os expôr caso não ocorra (como não parece ter ocorrido) o pagamento do resgate. Assim sendo estes dados confidenciais poderão já estar na posse dos hackers: é até mais provável que estejam do que não estejam.

O facto de existirem vários IPs ainda em baixo revela que se tratou de um ataque em larga escala e a rapidez com que outros sites foram recuperados parece apontar que os responsáveis de TI do Ministério repuseram imagens de máquinas virtuais (backups de muito curto prazo). Sabendo que um grupo malicioso está activo - em média - numa rede da dimensão da do ministério os atacantes tendem a estar activos 20 dias (51 em organizações com até 250 trabalhadores)

Isto pode significar que a "táctica rápida" de reposição pode ter deixado backdoors ou as ferramentas de inflitração activas na rede ou nas máquinas atacadas: esperamos que - neste momento - esteja a ser feita uma intensa verificação de logs e anomalias e que, simultaneamente, se esteja a preparar um plano de recuperação de dados anteriores a - pelo menos - 20 dias.

O que se passou (e continua a passar) no Ministério da Economia indica que ainda não apostamos suficiente em formação junto dos utilizadores "comuns" das redes já que, neste caso, a porta de entrada foi muito possivelmente uma campanha de phishing por email.

O ministério da economia até tem apostado em cibersegurança, conforme portal da contratação pública:
"Aquisição de serviços especializados no âmbito da cibersegurança, para suporte e manutenção das soluções de segurança em utilização na Secretaria-Geral do Ministério da Economia e do Mar", Jupiterstrategy - Consultoria Informática Lda" por 56.500,00 € a 25-11-2022 e
"Aquisição de serviços de consultoria em matéria de cibersegurança" à "EASYTHINK - CONSULTORIA EM COMUNICAÇÕES E SISTEMAS DE INFORMAÇÃO UNIPESSOAL, LDA" por 19.799,04 € a 26-07-2022"

Mas não consta entre as duas (apenas) autarquias e organismos do Estado central que investiram em ações de formação em cibersegurança: o que é uma lacuna grave e espero que seja agora devidamente colmatada.

A Iniciativa CpC: Cidadãos pela Cibersegurança tem dedicado uma especial atenção à protecção das organizações do Estado central e das autarquias locais. Se tivesse sido escutada talvez tivesse sido possível impedir este ataque:

Regulação de Criptomoedas, Democracia Participativa no Parlamento Europeu e propostas concretas para o Governo português
https://cidadaospelaciberseguranca.com/2023/02/04/regulacao-de-criptomoedas-democracia-participativa-no-parlamento-europeu-e-propostas-concretas-para-o-governo-portugues/

Um padrão de cibersegurança aos fornecedores do Estado
https://cidadaospelaciberseguranca.com/2022/07/11/e-preciso-impor-um-padrao-de-ciberseguranca-aos-fornecedores-do-estado/

Para quebrar o ciclo do Ransomware
https://cidadaospelaciberseguranca.com/2022/07/09/quebrar-o-ciclo-do-ransomware/

Um programa nacional de recompensa de identificação de vulnerabilidades em serviços de TI do Estado e das autarquias locais
https://cidadaospelaciberseguranca.com/2022/05/30/um-programa-nacional-de-recompensa-de-identificacao-de-vulnerabilidades-em-servicos-de-ti-do-estado-e-das-autarquias-locais/

(*) fundador da Iniciativa CpC - Cidadãos pela Cibersegurança