PF diz que dados do Ministério da Saúde não foram criptografados por hackers

Site e serviços do Ministério da Saúde sofreram ataque; suspeita de que ransomware está por trás da ação perdeu força

Emerson Alecrim
Por

Na tarde desta sexta-feira (10), o site saude.gov.br continuava fora do ar ou instável, o mesmo valendo para o ConecteSUS e outros sistemas ligados ao Ministério da Saúde. O problema foi causado por um ataque hacker detectado durante a madrugada. A suspeita inicial era a de que um ransomware estivesse por trás dessa ação, mas as investigações da Polícia Federal sugerem que o incidente não envolveu esse tipo de malware.

Ministério da Saúde (imagem: Marcello Casal Jr/Agência Brasil)
Ministério da Saúde (imagem: Marcello Casal Jr/Agência Brasil)

Não isso que isso torne o problema menos sério. O ataque é grave por ter causado transtornos a cidadãos que precisam dos sistemas afetados para, por exemplo, acessar o certificado de vacinação contra a COVID-19.

O maior temor é o de que tenha ocorrido perda ou roubo de informações. Porém, Marcelo Queiroga, ministro da Saúde, já assegurou que o Ministério da Saúde tem backup dos dados.

Era por volta da 1:00 desta sexta-feira quando o ataque foi identificado. Naquele momento, o site do Ministério da Saúde passou a exibir uma página que dizia: “você sofreu um ransomware. Os dados internos dos sistemas foram copiados e excluídos. 50 TB de dados está em nossas mãos [sic]. Nos contate caso queiram o retorno dos dados”.

Essa mensagem, que já não pode ser acessada, é o que levantou a suspeita de que a ação foi sido coordenada por um grupo de ransomware. Mas uma análise mais demorada nos faz pensar que, na verdade, essa página tinha apenas o intuito de desviar a atenção ou causar alarde.

Há algumas pistas nesse sentido. Para começar, o suposto grupo responsável pelo ataque — que se identifica como Lapsus$ Group — deixou um link para o Telegram e um endereço de email para que o Ministério da Saúde entrasse em contato e negociasse o resgate dos dados; no entanto, grupos de ransomware costumam criar canais de comunicação na dark web para dificultar o rastreamento da conversa.

Além disso, não é uma prática comum entre esses grupos eliminar dados, mas criptografá-los ou copiá-los para, posteriormente, usá-los em chantagens.

Levemos em conta também que extrair um volume tão grande de dados — 50 TB, relembrando — provavelmente exigiria muitas horas de trabalho, tempo suficiente para uma atividade suspeita ser detectada.

Outro sinal foi apontado no Twitter pelo perfil EterSec#Anonymous, que informa que o ataque teria ocorrido por meio de uma alteração de DNS que fez o site do Ministério da Saúde apontar para um endereço IP que não corresponde aos servidores do órgão.

Essa mudança de redirecionamento também teria impedido os demais serviços afetados, incluindo o ConectSUS, de funcionar corretamente.

Em complemento ao tweet em questão, o cientista de dados Marcelo Oliveira aponta que a última alteração no endereço saude.gov.br ocorreu em 2020, o que indica que o redirecionamento foi feito por alguém que teve acesso ao Amazon Route 53, serviço usado pelo Ministério da Saúde para gerenciamento de DNS.

Site do Ministério da Saúde hackeado (imagem: Twitter/Jeff Nascimento)
Site do Ministério da Saúde hackeado (imagem: Twitter/Jeff Nascimento)

Polícia Federal diz que dados não foram criptografados

Em nota divulgada na tarde desta sexta-feira, a Polícia Federal confirmou ter sido acionada para investigar o ataque. A instituição afirma ter visitado o datacenter afetado e constatado que “os bancos de dados de sistemas do Ministério da Saúde não foram criptografados pelos hackers”.

Essa afirmação reforça a tese de que os servidores do Ministério da Saúde não foram alvo de um ransomware, embora essa possibilidade ainda não possa ser descartada.

De todo modo, o secretário-executivo do Ministério da Saúde, Rodrigo Cruz, assegurou em coletiva de imprensa realizada por volta das 17:30 que o órgão mantém uma política de backup, declaração que condiz com a afirmação de Marcelo Queiroga sobre o assunto.

Apesar disso, Cruz ressaltou que ainda é cedo para “afirmar categoricamente” que não houve perda de dados e reconheceu que ainda não é possível prever quando todos os sistemas afetados voltarão ao funcionamento normal.