A Polícia Federal (PF) realiza, nesta terça-feira (16), uma operação contra suspeitos de terem realizado ataques cibernéticos contra sites do governo federal no final de 2021.

No total, no âmbito da “Operação Dark Cloud”, os policiais cumprem oito mandados de busca e apreensão divididos entre as cidades de Coremas/PB, Belo Horizonte/MG, Joinville/SC, Curitiba/PR e Paranaguá/PR.

“Durante a investigação, descobriu-se que tais ataques foram realizados por uma organização criminosa transnacional dedicada à prática de crimes dessa natureza, visando entidades públicas e privados no Brasil, Estados Unidos, Portugal e Colômbia”, afirmou a PF em nota.

Entre os alvos dos hackers no ano passado, o site do Ministério da Saúde ficou fora do ar junto de outros portais da pasta, como o “Portal Covid” e o “ConecteSUS”, utilizado como comprovante de vacinação contra a Covid-19.

O inquérito policial que levou a operação desta terça foi instaurado no dia do ataque contra a Saúde, em 10 de dezembro de 2021. “Os invasores deletaram arquivos, dados e instâncias da pasta atacada”, acrescentou a PF.

Além dos ataques ao Ministério da Saúde,  o grupo acessou indevidamente o ambiente virtual de outras autoridades. Veja a lista abaixo.

Outros órgãos atacados pelos hackers:

• Controladoria-Geral da União
• Ministério da Economia
• Instituto Federal do Paraná
• Agência Nacional de Águas e Saneamento Básico
• Escola Nacional de Administração Pública
• Agência Nacional de Transporte Terrestre
• Instituto de Pesquisas Jardim Botânico do Rio de Janeiro
• Agência Nacional de Energia Elétrica
• Fundação de Previdência Complementar do Servidor Público Federal
• Polícia Rodoviária Federal

De acordo com a PF, os suspeitos são acusados dos crimes de organização criminosa, invasão de dispositivo informático, interrupção ou perturbação de serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento, além do crime de corrupção de menores e lavagem de capitais.

Ataque hacker contra Ministério da Saúde

Na madrugada do dia 10 de dezembro do ano passado, o site do Ministério da Saúde (www.saude.gov.br) sofreu um ataque hacker.

Todos os portais da pasta, como o “ConecteSUS” e o “Portal Covid” também foram afetados e se encontram sem possibilidade de acesso.

O Lapsus$ Group, que assume a autoria do ataque cibernético, afirmava em mensagem que 50 terabytes de informações foram retirados do sistema e estão em posse do grupo. “Nos contate caso queiram o retorno dos dados”, diz a mensagem no site.

O portal sofreu um “ransomware”, ataque hacker caracterizado pela paralisação dos sistema seguido de um pedido de resgate para liberação. Diante da situação, empresas e agências atingidas devem tomar a difícil decisão sobre pagar ou não os hackers para remover a interrupção.

A AIG, uma das maiores seguradoras do mundo, diz que viu um aumento de 150% nos pedidos de resgate e extorsão entre 2018 e 2020. Os pedidos de resgate agora respondem por um em cada cinco pedidos de seguro cibernético, acrescentou a empresa.

O ataque aconteceu por volta da 1h da manhã. Cerca de duas horas depois, a mensagem saiu do ar e o site seguiu indisponível para acesso.

Ainda no dia 10, o Ministério da Saúde acionou o o Gabinete de Segurança Institucional e a Polícia Federal para apurar o ocorrido.

Segundo o Ministério, o incidente “comprometeu temporariamente alguns sistemas da pasta”, citando sistemas como “e-SUS Notifica, Sistema de Informação do Programa Nacional de Imunização (SI-PNI), ConecteSUS e funcionalidades como a emissão do Certificado Nacional de Vacinação Covid-19 e da Carteira Nacional de Vacinação Digital”.

Entenda o que é o ransomware

O ransonware, ataque hacker sofrido pelo site do Ministério da Saúde, é como um “sequestro de dados”, segundo o sócio do escritório Prado Vidigal Advogados especializado em proteção de dados, Luiz Fernando Prado.

Em entrevista à CNN Rádio, ele afirmou que o ransomware, que foi feito no sistema da pasta, “tem sido muito comum”.

O ransomware acontece, basicamente, quando um servidor é infectado e o programa bloqueia acesso a esses dados. “Se sou usuário do sistema, entro no computador e não consigo mais acessar, [os dados] estarão com senha, criptografia.”

Luiz Fernando ainda exemplificou exatamente como ocorre o ramsonware: “O atacante consegue acesso interno, como por exemplo, ao enviar e-mail para organização, alguém clica, abre arquivo suspeito, e o agente malicioso encontra dados e bloqueia a informação.”

Nesses casos, de acordo com o especialista, os atacantes costumam pedir resgate para liberar o acesso. “Geralmente por criptomoedas para dificultar o rastreamento, se a organização não estiver bem-preparada, fica nessa dúvida de pagar ou não.”

“Nossa recomendação é não pagar, porque não podemos fomentar esse tipo de quadrilha, compactuar com crime, e não há garantia de que ele devolverá os dados”, completou.

O especialista destaca que é possível restabelecer a ordem, mas que depende de como o “Ministério da Saúde estava preparado”: “Na maioria dos casos o resgate dos dados acontece, o ponto de maior preocupação é que são dados potencialmente sensíveis, precisamos ficar atentos se nossos dados foram ou não afetados.”

Outra preocupação é com eventual cópia das informações por parte dos hackers. “O backup é um dos riscos, mesmo com os dados restabelecidos, para eventualmente comercializar a informação copiada.”

“Há medidas para mitigar os danos, como backup em outro servidor, em que se consegue restabelecer o acesso e serviço rapidamente, o que acontece é que organizações não estão preparadas ainda para lidar com esse tipo de ataque, temos casos com dias e semanas de instabilidade”, ponderou.

Este conteúdo foi originalmente publicado em PF faz operação contra suspeitos de ataque hacker no Ministério da Saúde em 2021 no site CNN Brasil.