Início » Antivírus e Segurança » O curioso caso da prefeitura que teve seu sistema bloqueado por hackers

O curioso caso da prefeitura que teve seu sistema bloqueado por hackers

Servidores e fornecedores da cidade de Pratânia (SP) não vão ser pagos por causa da invasão

Jean Prado Por

O sistema da prefeitura do município de Pratânia (SP), localizado a 271 km da capital paulista, foi invadido por hackers no começo desta semana. Os servidores públicos que chegaram para trabalhar na segunda-feira (31) encontraram os computadores com todos os programas e outras atividades da prefeitura criptografados, com acesso negado.

A pacata cidade, de apenas 5 mil habitantes, tem alta dependência do sistema da prefeitura. Quem tentou abrir algum arquivo ou realizar alguma ação no computador se deparou com uma mensagem em inglês que pedia um resgate de US$ 3 mil para restabelecer o serviço. O e-mail ainda informava que nenhum desconto poderia ser aplicado e que o suposto hacker pode provar que está em posse dos arquivos roubados.

Mensagem recebida pela Prefeitura de Pratânia e de empresas das cidades de Marília e Vera Cruz.

Mensagem recebida pela Prefeitura de Pratânia e de empresas das cidades de Marília e Vera Cruz.

A mensagem acima também foi recebida por duas empresas da cidade de Marília (SP), a 447 km da capital paulista, e uma empresa do município vizinho de Vera Cruz (SP). As três cidades, localizadas no centro-oeste paulista, acharam melhor não pagar o resgate por recomendação de especialistas em segurança.

Com todo o sistema criptografado, nenhum dos 214 funcionários da Prefeitura de Pratânia consegue gerenciar serviços administrativos ou ter acesso às informações da prefeitura. O problema se agrava porque nesta quinta-feira (3) os servidores do município deveriam receber seus pagamentos, o que não vai acontecer com o sistema inacessível.

pratania-prefeito

“A folha, o almoxarifado, o IPTU, ISS, tesouraria, compras, licitações, enfim, o coração da prefeitura está bloqueado”, lamenta o prefeito Roque Joner (há um erro de digitação na legenda acima). Sem ter como movimentar o caixa, foi criado uma reação em cadeia, uma vez que fornecedores do comércio também precisam ser pagos para manter os estoques abastecidos.

A quantia de R$ 5 mil para uma quitanda que fornece alimentos para a merenda escolar, por exemplo, ainda não foi depositada. Outro estabelecimento, provedor de materiais de construção para a prefeitura, precisa do depósito para pagar os funcionários.

Sem o sistema, a prefeitura tenta contato com o banco para recuperar os dados da última folha de pagamento. Caso as informações sejam acessadas, os salários serão pagos nesta sexta-feira (4); caso contrário, o pagamento será feito em cheque depois do feriado, na próxima terça-feira (8).

Até ontem a última quarta-feira (2), a prefeitura ainda não havia conseguido acessar o sistema e, segundo a TV TEM, está construindo um novo, do zero, para administrar a cidade. Os cidadãos, naturalmente, estão em choque com o acontecido. "Que coisa, né? A gente está totalmente assustado. Aqui em Pratânia, acontecer isso? Coisa que a gente só vê em cidade grande, ou escuta falar, né? Mas que chegou até nós também", disse Michelli Lopes, dona de casa residente da cidade, em entrevista à TV TEM.

Informações do ataque

Quem tinha a intenção de deixar uma cidade inteira com os pagamentos atrasados? Como o ataque foi realizado, exatamente? Pouco se sabe. É curioso, no entanto, notar a semelhança do ataque sobre a prefeitura com o sofrido pelas empresas de Marília e Vera Cruz. A mensagem exibida é exatamente a mesma, com o mesmo espaçamento entre as letras, capitalização das palavras e até a quantia exigida de US$ 3 mil.

pratania-acesso-negado

Há um tipo de malware que faz algo semelhante, conhecido na área de segurança por Ransomware. Alguns vírus que recebem essa classificação também são conhecidos, como uma praga de provável origem russa conhecida como Ransomcrypt que, segundo o site Linha Defensiva, já afetou brasileiros, mas sua atuação é incomum.

A praga criptografa todos os arquivos do usuário, alterando suas extensões para ‘.Bl9c98vcvv‘ ou mesmo ‘.EnCiPhErEd‘. O vírus também modifica as pastas adicionando arquivos textos com o nome “HOW TO DECRYPT FILE”, onde existe as explicações de recuperação.

Os criminosos exigem um pagamento para a liberação do código que irá descriptografar os arquivos. Esse pagamento é feito através da compra de créditos Ukash, uma moeda utilizada na Europa para transações eletrônicas.

Coincidência? Talvez. Embora nenhum especialista de segurança tenha se pronunciado com mais informações técnicas sobre o caso, a semelhança com o que aconteceu na prefeitura começa a aparecer. É característico do cavalo de tróia Ransomcrypt procurar por vulnerabilidades em sistemas ou navegadores e explorá-las, aplicando a infecção como um processo automatizado.

A exploração mecânica da falha pode ser uma explicação para a infecção de sistemas menores, sem procedimentos de segurança avançados para prevenir ataques como esse. Por outro lado, o Departamento de Inteligência da Polícia Civil está colaborando com o caso da Prefeitura de Pratânia e pretende fazer o responsável responder criminalmente, caso haja alguém.

Mais sobre: ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Mauricio Oliver
tem muitas coisa que não são vista como deveria mais tem muitas falhas que devia ser mais estudas pra que o conhecimento fosse melhor mais aqui e brasil não em veste em pessoa como crianças muito capaz de lida com as tecnologia mais aqui e brasil não existe educação de qualidade na educação pra que tenha pessoa capacitadas pra le da com estes modelos de tecnológicos e já mais vai te pessoa que tenha alto conhecimento igualdade como muitos desejaria pra estuda este mundo obscuro que este mundo da tecnologia tem muito que não ver pessoa se destaca nas paginas e rede mundial de computadores vai sabe onde ele estudo pra te conhecimento assim pra trabalha com ti php muitos outras coisinhas do mundo da tecnologia moderna este e mão de obra que falta no brasil educação de qualidade mais tem um detalhe aqui e brasil onde filho de pobre não pode estuda e te Educação de qualidade ....
Mauricio Oliver
a remessa e assim e pode cre tem muitas falhas tecnas
Mauricio Oliver
olha que imagina uma cidade 40 mil habitantes e não tem uma pessoa capza de exe culta estas tarefas de formatação de pc quando o virus ou seja programa que criptografia tdos os computadores de a ria rematas tem vario os prgmas q faz trocas de códigos oline automaticamente mais tem q te um segundo ponto de controle de a ria remota ...?
Mauricio Oliver
tem programas capaz de fazer estes serviços disso vc pode te a certeza que sim
Anonimous
Isso é normal.. By Anonymous Goias
Matheus Araújo
Sei bem o que aconteceu aí o cara simplesmente passou um scanner de portas em ips dos quais estão veiculados as prefeituras , achando portas abertas basta criar um explodi ou estudar a vulnerabilidade e entrar com facilidade, já me diverti muito aqui em minha cidade antigamente fazendo isso , não pra fazer o mal lógico , mais pra explorar certas vulnerabilidades , me lembro que existia um backdoor que fazia buscas de falhas no VNC , olha que até hoje existe VNC bugado e o pior instalado em servidor , Banco de dados pessoal é coisa séria acima de backup é preciso escolher o SO correto o windows foi se o tempo, a microsoft só quer saber do xbox, sistemas como Linux , FreeBSD , OpenBSD e o OpenSolaris hoje pertencente a oracle são os melhores pra se ter um Banco de Dados Seguro, eu dou sempre preferencia a OracleSolaris porque é pouco conhecido e estudado , mais windows pelo amor de Deus se atualize você ter um banco de dados no Windows é querer ter problemas sérios 99,9% de vulnerabilidade só é explorada nele só é programada pra ele, conheço uma empresa grande e publica que tem windows 2003 e já vi varias falhas só que um dia essa grande empresa vai pegar o dela,eu acredito que a NSA disponibiliza muitas mais muitas falhas nunca divulgadas do sistema windows, quem diabos é que vai acreditar em um sistema de código fonte fechado que vem lá dos E.U.A? sei lá o que diabos tem lá dentro, então pessoal é brincar com segurança é confiar e dar a confiabilidade na mão dos outros e não assumir riscos.
Filipe Augusto
Já presenciei alguns casos de infecção por Ransomware e falo com convicção que a melhor forma de prevenção é ter o backup sempre em dia. Pelo visto não era o caso dessas prefeituras.
Dio
Até este fato acontecer a TI prestava um bom serviço e agora que um usuário comprometeu todo o sistema por falta de informação e conhecimento mínimos a TI precisa correr contra o tempo para consertar a burrada.
VaGNaroK Alkimist
Verdade, nunca vi um servidor linux ser infectado com Ransomware, mesmo que a infraestruturada da cidade usasse um linux com o sysadmin mais furreca, não teria acontecido o que diz na matéria. Nunca que esse tipo de ataque irá acontecer com um servidor linux e a cidade não teria perdido dinheiro.
Vagner "Ligeiro" Abreu
Pessoal reclamando do "sobrinho", do "windows pirata"... mas também a maioria dos profissionais de informática são gananciosos dos infernos. Cobram caro, ou fazem de tudo para ganhar algo em cima daquilo... Se não fosse o "sobrinho", nem informatizado a prefeitura estaria. Se não fosse o "Windows pirata", o pessoal nem ia conseguir trabalhar... (Ah, mas o pessoal prefere gastar dinheiro com outras coisas do que com TI... - certo, e você que reclama que prefere gastar dinheiro com cerveja, jogos, séries e coisas inúteis do que com plano de saúde? ) Tem gente na área de informática que é tão acomodado quanto taxista anti-uber. Na hora que um governo botar uma lei ampliando a concorrência na informática, quero só ver... PS: aposto que tem muita gente que lê e comenta, e provavelmente conhece quem faz uso destas ferramentas para ganhar dinheiro fácil...
corvolino
Todo mundo usando Windows Pirata, sem Backup.. achei um milagre o Hack de cabos está organizado.
corvolino
Não tinha Backup algum, por isso o transtorno.
Fabio Alvez
Tá vendo a falta que faz não ter Baidu Smart Total Defense instalado na sua máquina!!?
alexandredsc
O que faltou? Pessoal qualificado no TI? Apoio ao pessoal do TI? Investimento em segurança? Fato: em muitos lugares, dá-se menos valor à essa área da empresa do que se deveria, visto que TUDO funciona sobre sistemas informatizados.
Sergio Fagundes
Tão robusto, mas tão robusto, MAS TÃO ROBUSTO que um simples vírus é capaz de infectar todo o sistema (lembra do sasser)... Aham chora mais ai.
Kessler
Claro, o sujeito precisa abrir a raiz inteira para fazer merda. Permissão por permissão, o Windows também possui um sistema robusto de permissões. Pare de tentar justificar o seu fanboismo. Servidores linux são ownados o tempo todo, basta alguém incompetente estar no comando.
Sergio Fagundes
A claro... o admin linux vai fazer chmod -R 0777 / ... Beleza (se bem me lembro o suse inclusive proibe esse uso). Na boa, parem de querer inventar falhas de segurança no linux, já existem falhas reais mas que exigem acesso direto a máquina ou execução de comandos. Portanto precisa que o admin execute uma função que se sabe ser insegura e portanto ao contrário do windows e de seus milhões de kbs falhas no linux é puramente humana, no windows é bem capaz de ser falha do sistema operacional.
Kessler
Não é verdade. É só um administrador linux não saber usar corretamente as permissões de arquivo (e são muitos!) que a caca está feita. Se os arquivos não precisam permissão de root para escrita, eles podem ser criptografados numa boa sem nem "rootear" o host.
Kessler
E desde quando "habilitar o root" é problema? Não saber a senha de root não torna nenhum sistema mais seguro. É um mito que usar sudo é mais seguro que fazer tudo como root.
Sergio Fagundes
Nossa você aprendeu a digitar pesquisa no google e copiar o número de resultados, por acaso aprendeu a ler as páginas pesquisadas... é acho que não. Se lesse ia ver que: 1 - Precisa algum conhecimento de linux 2 - Precisa saber o que é root Portanto novamente não é qualquer um (como ocorre com windows) e precisa CONHECIMENTO para ferrar um servidor linux.
Marcelo Cavalli
Resultados do mau investimento em TI: ativos e profissionais.
Gregory Kubya
pior que tb deve estar criptografado se eles deixam a unidade de backup conectada o tempo todo na maquina.. isso é um ataque direto que é feito por um humano e não um virus comum..
Gregory Kubya
Ja tive clientes que passaram por isso, isso acontece com quem usa server 2003 e usa RDP.. Alguem fica procurando essas maquinas e encripta os arquivos..
Isaias Freitas
Não abriu o link.
Julian Leno
Não entendi tudo, mas achei bonito ???
felipelsp
Vai q... Supostamente.. Nao querem pagar os salários dos funcionários e fornecedores.... ??
João Santana
De forma nenhuma isso é fácil de resolver, não sei de que cartola você tirou essa conclusão. Precisa ter as ferramentas certas para decriptar, demanda tempo e talvez não se tenha uma máquina suficientemente potente para quebrar a encriptação. Se houver backup externo, antes melhor.
João Santana
Sabia que nos entenderíamos :) Mas vale avisar que o arquivo estará lá, mas não necessariamente com o atributo +H. Ele não aparecerá para você porque você não terá o Ownership. Veja esse artigo na TechNet para ter uma visão geral sobre o Ownership https://technet.microsoft.com/en-us/library/cc961992.aspx?f=255&MSPPError=-2147217396
João Santana
Eu tenho certeza que você não sofre de problemas cognitivos e leu, lá em cima, que falei de `supostos' sysadmins que usam o root ao invés de sudo. Sim, eles existem e usam senhas fracas, por mais que a sua fanboyice queira lhe convencer que não. E para quem começou escrevendo mimimi histórias de dez anos atrás mimimi vir com esse papinho de que precisa de conhecimento pra habilitar o root... Google (175 mil resultados) e Bing (84,5 mil resultados) tão aí para provar que basta procurar para a merda começar a feder - os dois tem como primeiro resultado habilitar o root no... Ubuntu, olha só que surpresa!
Roger Martins
Tantos profissionais de segurança aqui, e nenhum pra ir la resolver essa coisa "facil", vejam so.
Isaias Freitas
Bom, não lembro ao certo no meu caso de verificar arquivos ocultos, p cliente tinha um backup e focou nele não acompanhei o caso ate o fim, mas entendi o que vc disse.
João Santana
Acompanhe-me, jovem padawan :) Dada uma pasta C:Pasta com um arquivo arquivo.dat de 10240 KB. Eu oculto o arquivo com attrib +h arquivo.dat e abro um buffer de edição com copy con sequestro.txt onde eu escrevo que sequestrei o arquivo. Se você der um dir pelo Prompt de Comando nessa pasta, vai aparecer apenas o arquivo sequestro.txt; MAS se verificar as Propriedades da pasta no Windows Explorer, verá que ele conta dois arquivos e um tamanho de 10 MB, apesar de exibir um arquivo apenas. O exemplo é grosseiro, mas é isso que acontece em casos de ransomware. O NTFS aplica para cada arquivo na partição uma flag chamada Ownership. O cracker, ao assumir controle do PC, faz a encriptação desses arquivos e altera o Ownership para um usuário previamente criado por ele, ocultando assim os arquivos do seu usuário normal. O arquivo ainda está lá, encriptado e oculto de si porque o Ownership não lhe pertence mais. Por isso você vê apenas um arquivo de poucos KB e não o arquivo de vários MB. Usando as ferramentas certas, porém, é possível verificar os arquivos e tentar quebrar sua encriptação, geralmente por ataques de força bruta ou de dicionário.
Keaton
Da ultima vez que eu vi uma coisa dessas foi uma pessoa que me falou que tinha desativado o antivirus pois ele estava impedindo-lhe de receber uma bolada da megasena...
Glauber Silva
Isso aconteceu na empresa onde trabalho. Um usuário fez o favor de acessar coisas indevidas e por um vírus desse parou o departamento inteiro. A única solução foi restaurar o backup mesmo. Pesquisando sobre o tal vírus, vi muita gente dizendo que pagou em bitcoin. Outros pagaram mais de 300 dólares.
Junior Sousa
Amadorismo a gente vê por aqui.
Sergio Fagundes
SE e apenas SE ele deixa root habilitado e com senha tosca... Só que até a instalação mais besta do ubuntu já deixa root desabilitado hoje em dia. Precisa ter conhecimento pra poder habilitar o root (bem pelo menos saber usar sudo passwd root) portanto o sobrinho do amigo do vizinho do dono que tem uma cópia do original do windows 7 não vai saber fazer. Portanto ai não é sysadmin relaxado e sim uma BIOS.
Kessler
Tipo o Ashley Madison?
Eliezer
Guaranésia no Sul de MG está com o mesmo problema...http://g1.globo.com/mg/sul-de-minas/noticia/2015/09/hackers-invadem-sistema-interno-da-prefeitura-de-guaranesia-mg.html
Jonatas Wesley
Aconteceu o mesmo com a prefeitura de São Miguel do Iguaçu no PR.
Isaias Freitas
No caso que vi os arquivos ficaram como .txt e com poucos kb, como esses arquivos iriam se transformar em outro tipo de 10 mb por exemplo. Acredito que mesmo pagando eles não vao ter os arquivos de volta.
Emilio Souza Lima
Tivemos um caso aqui na empresa, um de nossos clientes teve a máquina afetada e alguns arquivos da rede tb... recuperamos via backup e perdemos 1 dia de dados... a mensagem era a mesma, os mesmos U$3k
João Santana
Problema é que o bug é uma ameaça permanente, por mais que a Skynet mande debuggers para resolvê-lo.
João Santana
Não esteja tão certo disso. Um sysadmin relaxado que deixe o root habilitado pode ser alvo de um dd if=/dev/urandom of=~/.dumb e adeus root.
Ricardo - Vaz Lobo
Enquanto tiver ser humano, esse bug bípede, mexendo em sistema, sempre vai dar rolo. Aí vem a Skynet e resolve o problema.
Sergio Fagundes
Acontece que mesmo com buracos um servidor linux não poderia ser afetado por ransomwares como acontece no windows.
Sergio Fagundes
No caso desse ransomware é muito diferente de criptografar no linux. Nele cada arquivo (excetuando os do sistema obviamente) é criptografado separadamente com uma senha que apenas o sequestrador conhece. A extensão do arquivo tanto faz, o que importa é que os arquivos não vão poder ser lidos e o custo que as empresas de segurança vão cobrar pra recuperar esses arquivos vai ser maior que pagar os sequestradores... (se morgar eles racham a grana com os caras...).
João Santana
Mudar de SO e não mudar de mentalidade não resolve nada. Já vi servidores Linux tão cheio de buracos quanto Windows Server ou Mac OS Server, só porque o suposto sysadmin tinha preguiça de usar sudo su, por exemplo, antes de fazer algo de segurança sensível.
João Santana
Não é o txt que é o arquivo sequestrado, jovem padawan. Os arquivos ainda estão lá mas, como estão encriptados, só a conta com privilégios para acessá-los o pode fazer. Se você encripta sua pasta pessoal no Linux, por exemplo, e alguém noutra conta tenta acessar seu /home, só vai encontrar um arquivo de texto informando que somente você pode montá-lo e decriptar. O processo, nessa história, é o mesmo.
Sergio Fagundes
Depois que um cara como eu fala que deveriam trocar para Linux sou criticado com mimimi de custos e com histórias de 10 anos atrás (o que em tecnologia é uma eternidade)... Agora quero ver resolverem essa merda sem um custo violento (para o bolso do cidadão claro).
Isaias Freitas
Eu duvido que recupere esses dsdos mesmo pagando. Se for igual q vi numa empresa, tudo virou .txt, então como voltaria a ser um arquivo normal de novo.?
Isaias Freitas
Vai ver fez o backup criptografado.
João Santana
Eu tinha um ISO W7 que a bootlogo era a caveira da franquia :)
Marlon J Anjos
Realmente essa questão cracker/hacker até quem é do ramo acaba generalizando. Gosto também da expressao Windows Jack Sparrow ahahahah
Marlon J Anjos
Um conhecido já teve seu servidor invadido (deixou porta 3389 aberta para o pessoal do sistema atualizar) e senao me engano pediram 5000 dolares. Eles pagaram e receberam o descodificador. Por mais incrivel que pareça existe uma certa relação de confiança pois é de interesse dos hackers que o business funcione. Se não houver essa confiança ninguem vai pagar nada e dar os dados como perdidos, e o objetivo deles é faturar. Além do que não custa nada dar a chave, o mais difícil já foi feito.
João Santana
Já vi vários Windows Server com AD mal-estruturado, cheio de buracos, com recursos desabilitados simplesmente por que um suposto sysadmin achava ruim ter que se conceder acesso toda vez que queria fazer algo para o quê ele teria de ter elevação de privilégios. Não à toa sistemas Linux são mais seguros por padrão, não estão nas mãos de sobrinhos.
João Santana
Falta de profissionalismo e infraestrutura. Moro numa cidade pequena, com uma área de TI que se limita a formatar computador por falta de pessoal especializado e equipamentos. Recurso para contratar em cargo de confiança um administrador de redes e adquirir licenças não se tem, mas para as festas de carnaval, padroeiro e outras...
João Santana
Se tiver backup, né? :P Além disso, que garantia haveria de ter os dados recuperados?
João Santana
Primeiro, é de causar espanto que um site de tecnologia use o termo `hacker' para tratar de crackers. `Ah, mas estamos reproduzindo a matéria'; o que não justifica ficar reproduzindo senso comum. Segundo, ransomware acontece aleatoriamente; muito provavelmente os crackers que invadiram e encriptaram esses computadores não fazem ideia que atingiram uma cidade pequena ou empresas idem. Terceiro, isso que dá chamar o sobrinho pra montar a rede, ao invés de um sysadmin. Sem contar o Windows Baú do Raul Editon.
PPKX XD
Tem, e também deve estar criptografado kkkk
Marlon J Anjos
Eu acho que não foi um ataque direcionado, este tipo de ataque é bem conhecido, e geralmente ocorre por uma porta aberta ou sistema desatualizado acessivel pela internet. Este tipo de ataque já ocorre a pelo menos 5 anos, as vezes alguma companhia de antivirus consegue encontrar alguma brecha na criptografia e lança uma ferramenta para ajudar as vítimas. Para ser sincero pelo que já saiu em outras reportagens, ninguem quebrou a criptografia deste caso especifico ainda, então ou se paga o valor, ou se volta o backup.
Rogério Santos
Perfeito! Se eu tenho uma rotina de backup, porque uma prefeitura (com dados sensíveis) não tem?
Felipe Lino
Isso vem acontecendo frequentemente desde o ano passado com empresas de varios seguimentos. Os casos que eu peguei eram servidores com WIndows Server anterior ao 2008, além do servidor estar totalmente vulnerável, com Firewall desativado e etc.
Felipe Lino
Isso acontece direto com meus clientes, e na maioria dos casos são em Windows Server antigo, a partir do 2008 nunca vi nenhum caso.
tuneman
sequestro de dados. um cliente meu já foi infectado. pelo menos eu havia feito um backup do total do Windows, mas ele acabou perdendo acesso ao histórico de NFe emitida. Pelo menos não foram muitas notas perdidas....
Leandro
Não tem backup de tudo?
Trovalds
Ransonware maroto aí... aquele email com fotos de nudes ou aquele flash drive com músicas... dificilmente isso é explorado diretamente pela internet usando vulnerabilidades. Já já descobrem a origem.