Por Redação O Sul | 14 de dezembro de 2021
Mais de 500 credenciais de acesso ligadas ao Ministério da Saúde estão à disposição em mercados de vendas de dados. Credenciais de acesso consistem do login e senha de usuários de servidores da pasta, com uso do domínio “@saude.gov.br”. O levantamento foi feito pela HarpiaTech, empresa de segurança cibernética que monitora esse tipo de vazamentos. O monitoramento revela que 579 credenciais foram expostas em vazamentos de junho a dezembro deste ano. O número, entretanto, pode ser ainda maior.
Um alerta emitido pelo Gabinete de Segurança Institucional (GSI) a todos os órgãos federais indicam que algumas das invasões que provocaram problemas nos últimos dias em aplicativos e sistemas do governo foram feitos com “perfis legítimos de administrador”. Segundo especialistas e hackers, essa definição usada pelo GSI fortalece a tese de que a brecha não foi causada por uma brecha no sistema, mas com o roubo de credenciais, ou seja de logins e senhas.
O levantamento feito pela HarpiaTech indica que em diversos vazamentos há referência a e-mails do Ministério da Saúde e senhas. Se algumas das vítimas de vazamentos não usarem senhas diferentes também para sistemas internos, é possível que criminosos consigam acesso privilegiado.
Caso a hipótese do ataque ter sido viabilizado por meio de acesso com usuário e senha interno, especialistas acreditam que as consequências para a infraestrutura interna podem ser mais danosas e a recuperação, mais lenta. A previsão atual do Ministério da Saúde é que os sistemas só retornem a funcionar a partir desta quarta-feira (15).
“A utilização de senhas obtidas em vazamentos ou adquiridas em mercados ilícitos é um meio bastante comum para a viabilização de ataques cibernéticos avançados”, afirma Filipe Soares, sócio da Harpia.
A constatação de que algumas invasões aconteceram com “perfis legítimos de administradores” levou o GSI a recomendar para os órgãos federais medidas como “bloquear imediatamente” a senha de servidores e colaboradores que estejam de férias ou licença, adotar “política de privilégios mínimos” a usuários, exigir a utilização de ferramentas de autenticação mais rigorosas e reavaliar as políticas de backup. Há várias formas de roubos de login e senha. As mais comuns são por meio de “emails maliciosos” que induzem o administrador a fornecer dados ou clicar em algum link suspeito que permite a entrada de um vírus.
O primeiro ataque cibernético ocorreu na última sexta-feira (10) no sistema do ConecteSUS e nas plataformas que monitoram a evolução da covid-19 e do Programa Nacional de Imunização (PNI), todos do Ministério da Saúde. Depois, os hackers atacaram as páginas da Escola Virtual e da Agência Nacional de Transportes (ANTT), vinculados ao Ministério da Economia. Na segunda-feira (13), a pasta da Saúde voltou a ser alvo de uma nova intrusão, conforme admitiu o ministro Marcelo Queiroga.
Um grupo que se autodenomina Lapsu$ assumiu a autoria do ataque. Nas mensagens que deixaram nos sites oficiais, chamadas de “pichação virtual”, os hackers alegam terem “sequestrado” mais de 50 terabytes de dados governamentais e pedem um resgate em dinheiro.
Além dos especialistas do GSI, a Polícia Federal também abriu inquérito para apurar os ataques hackers e, a partir de uma perícia inicial, concluiu que os sistemas não foram “criptografados” — ou seja, que as informações não foram embaralhadas e bloqueadas pelos criminosos. Não há confirmação ainda se o grupo realmente teve acesso a dados sigilosos.
