SamSam. O vírus que espalha o pânico pelo mundo chegou a Portugal

Os hospitais CUF foram atacado a 3 de agosto pelo SamSam e os computadores de serviço ficaram bloqueados. Empresa responsável garante que não houve dados comprometidos.

Passava sensivelmente meia hora depois das quatro da tarde de sexta-feira, 3 de agosto, quando soou o alerta: alguns dos sistemas dos hospitais da rede CUF, uma das maiores redes privadas de saúde do país e que pertence ao grupo José de Mello Saúde (JMS), ficaram bloqueados. Os funcionários foram informados, num alerta interno, que por precaução teriam de desligar os computadores nos quais estavam a trabalhar.

O azar tinha batido à porta. Os hospitais CUF foram atingidos por um ataque informático protagonizado por aquele que é um software malicioso que tem tanto de letal como de requintado. O vírus SamSam espalhou-se pela rede da empresa portuguesa sem dó, nem piedade. É assim que funcionam os ransomware: bloqueiam os dados contidos no computador e pedem um resgate, normalmente na criptomoeda Bitcoin, para a sua libertação.

Na prática os dados dos sistemas afetados ficam trancados por uma combinação única de caracteres (uma cifra) e só o atacante tem a cifra que pode fazer esse desbloqueio. No computador das vítimas aparece uma mensagem com os passos necessários para recuperar os dados

O que os informáticos do JMS e os peritos das autoridades vão acabar por descobrir, é que o ataque não começou naquela sexta-feira fatídica. Começou antes, provavelmente até muitos meses antes, de ter mostrado as suas garras.

“Normalmente o que o atacante faz é entrar no sistema e fazer uma investigação sobre a sua vítima. Uma vez que tem toda a informação e encontra qual o equipamento mais vulnerável, é quando executa o ransomware. Por isso pode permanecer escondido durante um ano, o que fazem durante esse tempo é investigar, recolher informação e localizar vulnerabilidades de sistemas”, explicou Ivan Mateo Pascual, engenheiro da empresa de segurança informática Sophos, à Insider.

A tecnológica britânica dedicou seis meses de trabalho ao SamSam, pelo perfil quase único deste ransomware. Lembra-se de em 2017 um vírus chamado WannaCry ter afetado dezenas de milhares de computadores em centenas de países? O SamSam funciona de forma completamente oposta.

Este software malicioso envolve muito trabalho manual. É direcionado de forma específica para cada uma das vítimas que ataca – o que leva a crer que os hospitais CUF estavam na lista de alvos de quem fez o ataque. E como é um trabalho quase de ‘artesão’, então o preço a pagar pelas vítimas também acaba por ser muito mais elevado.

“Para terem uma ideia, um ransomware normalmente pede 300 a 500 euros de resgate. A média dos resgates que pede o SamSam ronda os 45 mil euros”, revela Ivan Mateo Pascual.

Leia também | Há uma nova ameaça na internet que está a afetar os portugueses

O SamSam não é um novato do mundo do cibercrime. Começou a espalhar o pânico pela primeira vez em 2015 e é um ransomware que faz de tudo para não se tornar mediático. Ao contrário de outros vírus, não está à venda em páginas da dark web para que qualquer um o possa usar. Ao contrário de outros criminosos, quem usa o SamSam também não se gaba publicamente dos seus resultados – e acredite que já tem motivos para isso.

O estudo elaborado pela Sophos revela que, em pouco mais de dois anos, o SamSam já conseguiu ‘sacar’ 5,2 milhões de euros às suas vítimas. Por escolher de forma criteriosa os alvos de ataque, por norma grandes organizações ligadas ao sector público ou à área da saúde, tem uma alta taxa de conversão no pagamento de resgates.

“O objetivo é que quando encontra uma vítima, seja uma vítima na qual seguramente vai conseguir algum resultado. Estima-se que em cada quatro vítimas do SamSam haja um pagamento de resgate”, salientou o perito da Sophos.

O SamSam tem ainda outra particularidade, que acabou por não se confirmar no ataque feito à CUF: é seu hábito atacar de noite, quando já quase ninguém está em frente ao computador, para poder infetar o maior número de máquinas possível e sem que haja uma resposta pronta.

No meio da desgraça que sofreu, talvez o grupo José de Mello Saúde tenha tido uma ponta de sorte – como o ataque aconteceu a meio da tarde, foi possível responder de forma célere ao incidente.

“Temos sistemas de segurança informáticos muito desenvolvidos, o que nos permitiu ter uma resposta célere e robusta na deteção e controlo do vírus”, explicou a empresa, numa resposta enviada por email.

Ainda assim, os hospitais CUF viram-se obrigados a desmarcar consultas e exames considerados como não urgentes e a plataforma My CUF, direcionada para os utentes, também privou os utilizadores de acederem ao seu histórico de exames.

À Insider, o grupo JMS disse estar “a trabalhar na reposição total do sistema informático, o que está a acontecer de forma gradual, prevendo-se o regresso à completa normalidade no decorrer da próxima semana”. O ataque foi de imediato controlado e a empresa garante que não houve acesso a qualquer tipologia de dados. “Comunicámos à Comissão Nacional de Proteção de Dados esta situação”.

Ivan Mateo Pascual diz que mesmo com boas defesas, parar uma ameaça como o SamSam é muito difícil. “Uma vez que o atacante encontra a vítima, analisa tudo à sua volta, procura por vulnerabilidades para se poder propagar. Sistemas de deteção mais tradicionais não vão conseguir pará-lo. É muito complicado que um sistema tradicional o consiga detetar”.

O próximo passo é encontrar o ‘buraco’ que foi a porta de entrada deste vírus.

O jogo do gato e do rato

Em março, os sistemas da cidade de Atlanta, nos EUA, ficaram paralisados, cortesia do SamSam. A cidade acabaria por gastar perto de 2,2 milhões de euros para resolver todos os problemas causados pelo ataque.

Antes, em fevereiro, o Departamento de Transportes do estado norte-americano do Colorado, também nos EUA, foi igualmente vítima do ransomware. Estima-se que a fatura total com a recuperação tenha ascendido ao equivalente a 1,3 milhões de euros.

Estes custos não dizem respeito ao pagamento do resgate das máquinas e da informação. Dizem sim respeito às despesas relacionadas com a recuperação de todos os sistemas afetados.

Apesar da frieza e do impacto brutal dos ataques feitos por ransomware, a verdade é que são ataques de fácil resolução. Se o utilizador ou a empresa tiver um cópia de segurança atualizada dos ficheiros, então tudo o que precisa de fazer é reinstalar tudo de origem nos computadores e restaurar os dados.

No caso que envolveu os hospitais CUF, o grupo José de Mello Saúde não comenta qualquer questão relacionada com o tópico do resgate. O que a empresa diz é que está totalmente focada “na reposição da completa normalidade do sistema”.

A empresa também ainda não fala da possível causa do ataque. Mas sabendo como o SamSam ataca lá fora, é possível perceber melhor como o terá feito ‘cá dentro’.

“Existem vários vetores de ataque, como por exemplo, os de força bruta [tentativas sucessivas de acesso] ou a exploração de vulnerabilidades a máquinas com acesso remoto, protocolo de transferência de ficheiros ou alguns servidores aplicacionais”, explicou o Centro Nacional de Cibersegurança (CNCS).

O organismo responsável pela cibersegurança em Portugal foi notificado logo na sexta-feira do ataque e desde então tem estado a trabalhar em conjunto com os serviços do grupo JMS e com a Unidade Nacional de Combate ao Cibercrime e a Criminalidade Tecnológica (UNC3T), da Polícia Judiciária, na investigação ao caso.

Leia também | É destes países que se fazem mais ataques informáticos contra Portugal

Só quando a análise forense estiver concluída é que haverá certezas relativamente à forma como o vírus entrou nos hospitais da CUF. “Estamos a fazer uma análise profunda, em conjunto com todos parceiros e com as autoridades competentes sobre toda a situação, mas ainda é prematuro falar sobre isso”, acrescenta a JMS.

“O que tem acontecido normalmente é que [o SamSam] aproveita-se de uma vulnerabilidade e [o atacante] consegue aceder a um serviço, simplesmente conseguindo uma palavra-passe, e a partir daí move-se dentro da empresa”, explicou o perito espanhol da Sophos.

Qual quebra-cabeças, um dia que se conhecer a rota de entrada do SamSam, então começa outro desafio tão ou mais complexo – tentar encontrar pequenas ‘migalhas’ que ajudem a identificar o autor do ataque.

“A atribuição dos ataques é dos aspetos mais complexos a identificar e requer uma análise profunda e demorada dos registos que ficaram entretanto no sistema”, adianta, desde já, o CNCS.

Carlos Cabreiro, diretor da UNC3T, confirma que as características únicas do SamSam não vão tornar fácil a investigação. “Não temos uma característica comum ao ataque, pode haver alvos diferenciados, não ataca vulnerabilidades que de alguma forma já vão sendo conhecidas”, refere.

A José de Mello Saúde confirma que foi apresentada queixa na Polícia Judiciária e que além da cooperação com o CNCS, também está em contacto com o Centro Europeu de Cibersegurança e “múltiplos parceiros especialistas nesta área”.

Polícia Judiciária e Europol em cima do caso

Uma das características que se destaca no SamSam é que, depois de mais de dois anos de vítimas e milhões de euros em prejuízo, ainda não há grande ideia de quem possa estar por trás desta ‘arma’. A Sophos diz mesmo que há suspeitas de que este ransomware seja controlado não por um grupo de piratas informáticas, mas por uma única pessoa.

“O objetivo principal, como investigação criminal, é chegar à determinação da autoria dos factos. Por vezes pode estar complicada, pode estar encoberta, pode ter dificuldades acrescidas, é um facto. Mas que fruto da colaboração, como disse, na área do malware com a Europol e com outros países, tenderemos a diminuir o fenómeno”.

É desta forma que a Polícia Judiciária vai abordar este caso específico, sobretudo pela falta de histórico do SamSam em Portugal. O CNCS confirmou nunca ter recebido “qualquer outra notificação de casos associados ao ransomware SamSam”.

Os poucos indícios que existem – como os erros ortográficos em inglês que surgem no ecrã dos computadores das vítimas -, parecem sugerir que o autor do SamSam não é nativo da língua inglesa – ou está a disfarçar. Potencialmente pode ser de um país de leste.

O líder UNC3T diz que “as situações de malware são das situações com mais denúncias neste momento” e que esta é uma “preocupação constante” para a Polícia Judiciária. Carlos Cabreira deixa, no entanto, uma nota positiva sobre as organizações portuguesas: “grande parte das nossas empresas felizmente já vão estando cientes da necessidade de investimento em segurança informática”.

No final, o especialista em segurança informática da Sophos deixa um aviso e um conselho: cuidado, pois se antes o SamSam atacava sobretudo organismos públicos, as empresas privadas também têm sido afetadas; e que por isso é importante ter cópias de segurança dos sistemas em dia, ferramentas de proteção dedicadas e aumentar as requisitos de todos aqueles que acedem aos sistemas fora dos computadores da empresa.

No meio de tantas dúvidas relativamente ao horribilis SamSam, há pelo menos uma certeza: já descobriu o caminho para Portugal.