Foi durante o dia de ontem que se visita o sites do grupo Impresa, como a SIC e o Expresso, encontrou algo que normalmente não costuma acontecer nos grupo de comunicação, uma mensagem de um grupo de hackers.
Esta mensagem ainda esteve ativa durante várias horas, até que o grupo Impresa voltou a ter acesso ao serviço de alojamento e ou domínio e alterou para uma mensagem mais institucional. No entanto, já passou mais de 24 horas, e os sites da empresa ainda não voltaram a estar online. Será que isto quer dizer que a empresa ainda não conseguiu recuperar os acessos?
Que tipo de ataque foi feito e por quem?
Ora, a verdade é que este tipo de ataques são cada vez mais comuns e certamente que ouviu falar fosse de amigos que ficaram com os computadores bloqueados, ou até de grandes empresas. Este tipo de ataque é conhecido por ransomware.
Ransomware é um tipo de malware que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate em criptomoedas (como em um sequestro) para que o acesso possa ser restabelecido, que torna praticamente impossível o rastreamento do criminoso que pode vir a receber o valor. Este tipo de “vírus sequestrador” age codificando os dados do sistema operacional de forma com que o usuário não tenha mais acesso.
Nos últimos tempos, este tio de ataques tem sido muito utilizado e mesmo a grandes empresas, como aconteceu em maio ao maior oleoduto nos EUA e que gerou muitos problemas de fornecimento de gás. Mas também aconteceu no Brasil no ano passado, e falamos deste último no Brasil, pois feito pelo mesmo grupo: Lapsus$ Group.
Este grupo de hackers é recente, com pouco mais de um ano, mas já efetuou ataques de grande nível, sendo que um deles foi à Eletronic Arts, sendo outro a sites do governo do Brasil, como o Ministério da Saúde e também à operadora brasileira Claro.
Este grupo, na altura do ataque no Brasil, referiu que não tinham qualquer interesse em vender os dados roubados, sendo o único objetivo a obtenção de dinheiro, numa resposta a uma sugestão de que o ataque poderia ter motivações políticas. Enquanto no caso do Brasil, não foram revelados dados obtidos, no ataque à Electronic Arts, houve alguma informação divulgada, como código de evoluções do jogo FIFA 2021, o que dá a entender que a EA não terá pago o valor pedido pelo resgate.
O que foi roubado pelos ataques?
O que normalmente acontece nestes casos é que as informações são encriptadas pelos hackers e a sua recuperação apenas será possível após um pagamento, sendo que os hackers fornecem um tipo de password para que possam voltar a ter acesso aos dados.
Voltando aos casos anteriores, a EA não terá pago o resgate, pois não estariam em causa dados sensíveis de utilizadores, enquanto no caso brasileiro, certamente que havia dados importantes, já que os hackers tiveram acesso aos processo de vacinação Covid, no entanto, neste último não foi revelado nenhuma informação.
No caso do site do Expresso em específico, existem dados de utilizadores no site, já que, como sabemos, o Expresso é um jornal semanal e pode ser subscrito no site, sendo que, neste caso, além de dados dos utilizador, como email e passwords, também poderá haver dados mais sensíveis expostos, como dados de cartões bancários para o pagamento das subscrições.
No atual momento, ainda nada foi divulgado, portanto não sabemos o que poderá ter sido acedido pelos hackers, nem quantidade de dados ou tipo de dados que podem ter sido expostos.
Sou subscritor do Expresso. O que deve fazer?
A verdade é que devemos ter sempre cuidados com segurança, nomeadamente porque este tipo de ataques são cada vez mais comuns. São vários os conselhos que se podem dar para ter uma utilização o mais segura possível, no entanto deixamos aqui uma lista:
– Ativar sistemas de dupla autenticação para que a palavra-chave não seja o único método necessário para acesso
– Alterar a palavra-chave com regularidade
– Usar palavras-chave longas com letras, números e símbolos
– Aceder aos serviços online através de dispositivos seguros
– Crie cartões de multibanco virtuais para cada subscrição diferente
Quero destacar este último, como sendo muito importante, nomeadamente em serviços de subscrição. A verdade é que é cada vez mais comum termos serviços de subscrição, como a Netflix ou o Expresso.
Ora, se colocou o número do seu cartão de crédito diretamente no site do Expresso, neste momento deveria estar preocupado e aconselho a contactar o seu banco. É verdade que ainda não sabemos que tipo de dados foram expostos, mas quer arriscar?
Para esta situações, nada melhor do que criar cartões de crédito virtuais para cada serviço e nisso a SIBS é muito boa, já que através do MBWay, pode criar quantos cartões virtuais quiser, com diversas limitações, que podem ir de um valor fixo durante 12 meses, até um valor mensal. Numa situação destas, bastava cancelar esse cartão e o risco termina.
Portanto, principalmente na parte monetária, já demos a resposta do que deve fazer, quanto às outras situações, certo é verificar em que sites é que tem a mesma password e email que no site do Expresso, e alterar as passwords o mais rápido possível.
E agora?
Bem, por agora, como acontece nestes casos, a informação divulgada de forma oficial pela empresa atacada é muito pouca. Vamos dizer que nunca há interesse em divulgar o que acontece, desde os dados que foram divulgados, até ao que acontece no final: se as empresas conseguem recuperar o acesso ou acabam por pagar.
Portanto, é esperar e tentarmos perceber o que irá acontecer nas próximas horas, bem como o que será divulgado tanto pela empresa, ou mesmo pelos hackers.
Oficialmente, a Impresa já confirmou que foi alvo de um ataque e que vai apresentar uma queixa-crime.
O que os especialistas dizem?
Marc Rivero, analista da equipa de Análise e Investigação Global da GReAT da Kaspersky diz que, “Pelo que sabemos neste momento, este grupo é novo e iniciou a sua atividade por volta do início de dezembro. O grupo parece usar “técnicas de hacking” para comprometer as suas vítimas, mas não conseguimos assegurar que tenham executado algum ransomware no servidor do cliente. Deixar notas e comentários nos sites, como os grupos de ransomware estão a fazer, pode ser apenas uma questão de atrair/chamar à atenção.
Ainda temos que observar mais atividades e perceber como funcionam para confirmar esta afirmação. Ao momento, podemos constatar que o grupo usou em alguns dos “ataques”, senhas mal configuradas ou uma configuração insegura na conta da cloud (autenticação multifator) para comprometer os diferentes ambientes.
O grupo promove as suas atividades e ações por meio de grupos do Telegram, onde os criminosos partilham grande parte dos dados roubados. Desta vez, existem cinco vítimas diferentes afetadas por este grupo de hackers.”
