No recado deixado no portal do Ministério da Saúde, os criminosos afirmaram que a invasão se tratava de um ataque do tipo "ransomware": eles disseram ter copiado e excluído 50 TB (terabytes) de dados e pediram resgate. Para especialistas ouvidos pelo Estadão, porém, ainda é preciso investigar o caso para saber se houve de fato roubo de informações.
O ataque de ransomware é aquele em que os criminosos sequestram dados da vítima, bloqueiam os sistemas e pedem resgate em dinheiro - o nome ransom, em inglês, significa o pagamento para libertar um refém. No ransomware, os criminosos geralmente usam programas maliciosos que, por meio de criptografia, bloqueiam o acesso das vítimas a seus arquivos. A infecção se dá principalmente por vulnerabilidades em programas desatualizados, uso de senhas fracas e arquivos maliciosos enviados por e-mail (que são acessados por funcionários ou membros da instituição alvo do ataque).
CIBERATAQUE
No caso do ataque ao Ministério da Saúde, ainda não há provas de que os dados da pasta foram sequestrados. Por enquanto, o único indício de que isso aconteceu foi a própria mensagem postada pelos criminosos. "Já tivemos casos que pareciam ransomware, mas que depois não se confirmaram", afirma Felipe Daragon, fundador da empresa especializada em cibersegurança Syhunt.
Até o momento, é possível afirmar que houve um ataque ao sistema DNS, que é o responsável por direcionar os usuários a plataformas na internet. Em outras palavras, o DNS leva o usuário do domínio "www" para um endereço de IP, que é o "RG" que cada site ganha ao se hospedar na internet. O que os criminosos fizeram ontem foi interceptar o caminho entre o endereço "saude.gov.br" e o site do Ministério da Saúde, direcionando a página para o recado dos hackers - o IP detectado para esta página indicava um registro em Tóquio.
Segundo especialistas em cibersegurança, embora o ataque DNS envolva algum tipo de comprometimento dos sistemas do Ministério a partir de uma falha de segurança, isso não necessariamente envolve o roubo ou comprometimento de informações.
"Sabemos que os criminosos em algum momento estiveram de posse do domínio do Ministério da Saúde, incluindo o de e-mails. Mas ainda não há comprovações de que houve roubo das informações", afirma Jéferson Campos Nobre, que é professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS).
De acordo com pessoas ouvidas pela reportagem com acesso aos sistemas internos, os dados sobre a aplicação de vacina contra a covid na população estão armazenados em blockchain - um banco de dados descentralizado, que usa criptografia, e, portanto, mais seguro. Apesar da invasão, as informações do Conecte SUS não teriam sido apagadas.
Levantou-se a suspeita de roubo de dados porque os usuários tiveram problemas em buscar recursos como o comprovante de imunização contra a covid-19.
Especialistas, entretanto, afirmam que esse fato, sozinho, não comprovaria um ataque no formato ransomware. "Esse tipo de problema pode ser decorrente inclusive desse ataque de DNS e de alguma questão interna do aplicativo, que não está conseguindo acessar essas informações", afirma o professor Nobre.
COMPROVANTE
A princípio, a falha na consulta do comprovante de vacinação poderia ser explicada, então, pela dificuldade de comunicação com o servidor do Ministério da Saúde. Ou seja, o usuário tem a sua rota desviada da informação que está hospedada no servidor do ministério.
O caso, porém, necessita de mais investigação. De acordo com especialistas, o número de 50 TB divulgado pelos supostos autores seria considerado grande demais para bases de dados de uma única instituição - esse poderia ser mais um indício que de não houve acesso às informações.