PF diz que dados do Ministério da Saúde não foram criptografados por hackers

Na tarde desta sexta-feira (10), o site saude.gov.br continuava fora do ar ou instável, o mesmo valendo para o ConecteSUS e outros sistemas ligados ao Ministério da Saúde. O problema foi causado por um ataque hacker detectado durante a madrugada. A suspeita inicial era a de que um ransomware estivesse por trás dessa ação, mas as investigações da Polícia Federal sugerem que o incidente não envolveu esse tipo de malware.

Não isso que isso torne o problema menos sério. O ataque é grave por ter causado transtornos a cidadãos que precisam dos sistemas afetados para, por exemplo, acessar o certificado de vacinação contra a COVID-19.

O maior temor é o de que tenha ocorrido perda ou roubo de informações. Porém, Marcelo Queiroga, ministro da Saúde, já assegurou que o Ministério da Saúde tem backup dos dados.

Era por volta da 1:00 desta sexta-feira quando o ataque foi identificado. Naquele momento, o site do Ministério da Saúde passou a exibir uma página que dizia: “você sofreu um ransomware. Os dados internos dos sistemas foram copiados e excluídos. 50 TB de dados está em nossas mãos [sic]. Nos contate caso queiram o retorno dos dados”.

Essa mensagem, que já não pode ser acessada, é o que levantou a suspeita de que a ação foi sido coordenada por um grupo de ransomware. Mas uma análise mais demorada nos faz pensar que, na verdade, essa página tinha apenas o intuito de desviar a atenção ou causar alarde.

Há algumas pistas nesse sentido. Para começar, o suposto grupo responsável pelo ataque — que se identifica como Lapsus$ Group — deixou um link para o Telegram e um endereço de email para que o Ministério da Saúde entrasse em contato e negociasse o resgate dos dados; no entanto, grupos de ransomware costumam criar canais de comunicação na dark web para dificultar o rastreamento da conversa.

Além disso, não é uma prática comum entre esses grupos eliminar dados, mas criptografá-los ou copiá-los para, posteriormente, usá-los em chantagens.

Levemos em conta também que extrair um volume tão grande de dados — 50 TB, relembrando — provavelmente exigiria muitas horas de trabalho, tempo suficiente para uma atividade suspeita ser detectada.

Outro sinal foi apontado no Twitter pelo perfil EterSec#Anonymous, que informa que o ataque teria ocorrido por meio de uma alteração de DNS que fez o site do Ministério da Saúde apontar para um endereço IP que não corresponde aos servidores do órgão.

• O que é DNS?

Essa mudança de redirecionamento também teria impedido os demais serviços afetados, incluindo o ConectSUS, de funcionar corretamente.

Em complemento ao tweet em questão, o cientista de dados Marcelo Oliveira aponta que a última alteração no endereço saude.gov.br ocorreu em 2020, o que indica que o redirecionamento foi feito por alguém que teve acesso ao Amazon Route 53, serviço usado pelo Ministério da Saúde para gerenciamento de DNS.

Polícia Federal diz que dados não foram criptografados

Em nota divulgada na tarde desta sexta-feira, a Polícia Federal confirmou ter sido acionada para investigar o ataque. A instituição afirma ter visitado o datacenter afetado e constatado que “os bancos de dados de sistemas do Ministério da Saúde não foram criptografados pelos hackers”.

Essa afirmação reforça a tese de que os servidores do Ministério da Saúde não foram alvo de um ransomware, embora essa possibilidade ainda não possa ser descartada.

De todo modo, o secretário-executivo do Ministério da Saúde, Rodrigo Cruz, assegurou em coletiva de imprensa realizada por volta das 17:30 que o órgão mantém uma política de backup, declaração que condiz com a afirmação de Marcelo Queiroga sobre o assunto.

Apesar disso, Cruz ressaltou que ainda é cedo para “afirmar categoricamente” que não houve perda de dados e reconheceu que ainda não é possível prever quando todos os sistemas afetados voltarão ao funcionamento normal.

Receba mais sobre Ministério da Saúde na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade