PF diz que dados do Ministério da Saúde não foram criptografados por hackers
Site e serviços do Ministério da Saúde sofreram ataque; suspeita de que ransomware está por trás da ação perdeu força
Site e serviços do Ministério da Saúde sofreram ataque; suspeita de que ransomware está por trás da ação perdeu força
Na tarde desta sexta-feira (10), o site saude.gov.br continuava fora do ar ou instável, o mesmo valendo para o ConecteSUS e outros sistemas ligados ao Ministério da Saúde. O problema foi causado por um ataque hacker detectado durante a madrugada. A suspeita inicial era a de que um ransomware estivesse por trás dessa ação, mas as investigações da Polícia Federal sugerem que o incidente não envolveu esse tipo de malware.
Não isso que isso torne o problema menos sério. O ataque é grave por ter causado transtornos a cidadãos que precisam dos sistemas afetados para, por exemplo, acessar o certificado de vacinação contra a COVID-19.
O maior temor é o de que tenha ocorrido perda ou roubo de informações. Porém, Marcelo Queiroga, ministro da Saúde, já assegurou que o Ministério da Saúde tem backup dos dados.
Era por volta da 1:00 desta sexta-feira quando o ataque foi identificado. Naquele momento, o site do Ministério da Saúde passou a exibir uma página que dizia: “você sofreu um ransomware. Os dados internos dos sistemas foram copiados e excluídos. 50 TB de dados está em nossas mãos [sic]. Nos contate caso queiram o retorno dos dados”.
Essa mensagem, que já não pode ser acessada, é o que levantou a suspeita de que a ação foi sido coordenada por um grupo de ransomware. Mas uma análise mais demorada nos faz pensar que, na verdade, essa página tinha apenas o intuito de desviar a atenção ou causar alarde.
Há algumas pistas nesse sentido. Para começar, o suposto grupo responsável pelo ataque — que se identifica como Lapsus$ Group — deixou um link para o Telegram e um endereço de email para que o Ministério da Saúde entrasse em contato e negociasse o resgate dos dados; no entanto, grupos de ransomware costumam criar canais de comunicação na dark web para dificultar o rastreamento da conversa.
Além disso, não é uma prática comum entre esses grupos eliminar dados, mas criptografá-los ou copiá-los para, posteriormente, usá-los em chantagens.
Levemos em conta também que extrair um volume tão grande de dados — 50 TB, relembrando — provavelmente exigiria muitas horas de trabalho, tempo suficiente para uma atividade suspeita ser detectada.
Outro sinal foi apontado no Twitter pelo perfil EterSec#Anonymous, que informa que o ataque teria ocorrido por meio de uma alteração de DNS que fez o site do Ministério da Saúde apontar para um endereço IP que não corresponde aos servidores do órgão.
Essa mudança de redirecionamento também teria impedido os demais serviços afetados, incluindo o ConectSUS, de funcionar corretamente.
Em complemento ao tweet em questão, o cientista de dados Marcelo Oliveira aponta que a última alteração no endereço saude.gov.br ocorreu em 2020, o que indica que o redirecionamento foi feito por alguém que teve acesso ao Amazon Route 53, serviço usado pelo Ministério da Saúde para gerenciamento de DNS.
Em nota divulgada na tarde desta sexta-feira, a Polícia Federal confirmou ter sido acionada para investigar o ataque. A instituição afirma ter visitado o datacenter afetado e constatado que “os bancos de dados de sistemas do Ministério da Saúde não foram criptografados pelos hackers”.
Essa afirmação reforça a tese de que os servidores do Ministério da Saúde não foram alvo de um ransomware, embora essa possibilidade ainda não possa ser descartada.
De todo modo, o secretário-executivo do Ministério da Saúde, Rodrigo Cruz, assegurou em coletiva de imprensa realizada por volta das 17:30 que o órgão mantém uma política de backup, declaração que condiz com a afirmação de Marcelo Queiroga sobre o assunto.
Apesar disso, Cruz ressaltou que ainda é cedo para “afirmar categoricamente” que não houve perda de dados e reconheceu que ainda não é possível prever quando todos os sistemas afetados voltarão ao funcionamento normal.