Malware antigo infectou 192 PCs do governo Bolsonaro dias depois da eleição

192 computadores do gabinete da Presidência da República foram infectados por um antigo e desatualizado ransomware, programa malicioso usado para sequestrar dados do sistema afetado, em 1º de novembro do ano passado, dois dias depois do segundo turno das eleições.

Quase uma semana depois, o MPF (Ministério Público Federal) pediu uma investigação sobre um "apagão de documentos" a partir da suposta formatação de HDs realizada às pressas pelo governo — até então em posse de Jair Bolsonaro.

Relacionadas

'Dinamite na Shopee': como rastro de busca na web já complicou criminosos

Empresa é condenada por ler mensagens de funcionário enviadas no WhatsApp

Tem muito fake curtindo fotos e stories no seu Instagram? Veja o que fazer

O número de máquinas infectadas corresponde a aproximadamente 5% do parque computacional da Presidência da República, segundo informações divulgadas via Lei de Acesso à Informação, realizado por Tilt em 13 de novembro de 2022, e respondido no dia 3 de janeiro deste ano.

O tempo entre a descoberta da ação cibercriminosa e o bloqueio da ameaça foi de três horas:

"Informamos que o incidente foi detectado por volta das 7h30 pela Equipe de Tratamento de Incidentes de Rede da Presidência da República (ETIR-PR), neutralizando suas ações por volta das 10h30 da mesma data", explicou a Secretaria-Geral da Presidência da República no pedido.

Tipo de malware usado no ataque

O programa usado foi uma variação do ransomware TeslaCrypt, conhecido por afetar gamers e cobrar US$ 500 pelo resgate dos dados das vítimas. Ele foi descontinuado pelos desenvolvedores, e não recebe atualizações desde 2016.

"É possível que o malware tenha passado indetectável pelos serviços de cibersegurança uma vez que o mesmo não é tão comum, tornando mais difícil sua detecção", afirma Helder Ferrão, gerente de marketing de indústrias da empresa de segurança digital Akamai, para a América Latina.

"O fato de um malware ser desatualizado não anula o fato de ele ainda representar um risco à segurança, e não significa que não existiam medidas de segurança vigentes", acrescenta.

Linha do tempo do caso

1º de novembro de 2022

Um programa malicioso foi detectado em algumas estações de trabalho, segundo a Secretaria-Geral da Presidência.

11 de novembro de 2022

O portal Metrópoles divulgou que funcionários do setor de informática receberam uma mensagem no dia dizendo que o sistema de antivírus da rede da Presidência havia detectado uma ameaça de segurança. Por isso máquinas teriam que ser formatadas.

Na mesma data, o MPF no Distrito Federal solicitou a abertura de uma investigação sobre o suposto "apagão de computadores" do Palácio do Planalto. O órgão queria detalhes e esclarecimentos sobre:

• Quantos computadores foram formatados;
• Se arquivos foram danificados ou apagados;
• Se dados sensíveis foram vazados e dados públicos foram perdidos;
• Se houve investigação sobre a origem do ataque.

O episódio também gerou polêmica nas redes sociais. Alguns internautas levantaram suspeitas sobre uma suposta queima de arquivo. Isso porque:

• O ataque hacker ocorreu dois dias após o segundo turno das eleições presidenciais, na qual Jair Bolsonaro perdeu para o atual presidente, Luiz Inácio Lula da Silva.
• A formatação acaba dificultando o trabalho de peritos digitais, que precisam desses dados para levantar o rastro digital de cibercriminosos.

12 de novembro de 2022

Em resposta — muitas horas depois — a Secretaria-Geral do Gabinete informou que não houve vazamento de dados ou comprometimento de sistemas. Diante do malware, a ameaça foi neutralizada.

Segundo o comunicado, o sistema foi invadido por phishing (técnica usada para o roubo de dados confidenciais a partir de uma isca para convencer potenciais vítimas).

Contudo, não respondeu se houve ou não a formatação de equipamentos. O texto diz apenas: que "dessa forma, como procedimento padrão, as máquinas afetadas têm passado por reparo dos sistemas operacionais pela área técnica responsável.

A nota de esclarecimento da Secretaria-Geral do Gabinete do Presidente da República foi retirada do ar, mas pode ser acessada em um registro do site Wayback Machine.

1º de dezembro de 2022

O MPF no DF solicitou uma perícia da resposta enviada pela Secretaria-Geral da Presidência da República e aguarda conclusão.

O inquérito segue em curso até o momento, explicou a instituição em email a Tilt.

Sequestro de US$ 500

Detectado pela primeira vez em fevereiro de 2015, o TeslaCrypt é um ransomware criado para atacar principalmente quem joga no computador.

De acordo com dados do Centro de Ameaças da Kaspersky, o programa malicioso compromete "registros de jogos, perfis de usuários, reproduções recodificadas" e outros arquivos importantes para que os games funcionem corretamente.

Uma vez infectado, o TeslaCrypt costuma pedir um resgate de US$ 500 — um valor que pode dobrar caso o usuário demore para pagar a dívida.

O montante (que é considerado baixo comparado a outras ações do tipo) se dá pela escala do ataque, e não costuma vitimar empresas ou instituições governamentais.

Por se tratar de arquivos essenciais para o funcionamento dos jogos, o malware não costuma sequestrar arquivos com mais de 268 MB.

Países mais infectados pelo TeslaCrypt:

1. Estados Unidos
2. Alemanha
3. Espanha
4. Itália
5. França
6. Reino Unido

E o usado no ataque ao governo?

Não está claro se o programa que infectou quase 200 máquinas da Presidência exigiu o mesmo valor de recompensa, e nem se ele utilizou os mesmos tipos de arquivos e estratégia de sequestro de dados.

O que se sabe sobre o tipo de malware é que ele pode sim ser mais difícil de ser detectado, afirma Daniel Bortolazo, gerente de engenharia e arquitetura da empresa de cibersegurança Palo Alto Networks.

Para o especialista, é pouco provável que o ransomware tenha visado arquivos maiores de 268 MB, já que atingiu computadores de uso diário e não servidores do governo.

Invasões são comuns, mas a resposta, não

Para alguns especialistas no setor, é até esperado que cibercriminosos tentem atacar sistemas relevantes como o de um governo.

O agravante, segundo o consultor de cibersegurança Raul de Morais, é que órgãos públicos possuem muitas vulnerabilidades como softwares desatualizados e problemas com a segurança das senhas. "Os atacantes conhecem esse cenário e podem explorar falhas de segurança que, em alguns casos, seriam facilmente detectadas no setor privado."

De acordo com registros do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), só em novembro de 2022, mês da ocasião do ataque ao governo, foram registrados 48 incidentes de fraude, 11 de malwares e 58 de scam (outro tipo de fraude digital para obter dados).

"Todos nós, particulares ou instituições, seremos atacados, só não sabemos quando", ressalta Georgia Benetti, perita digital e especialista em computação forense.

O que chama mais a atenção, segundo Benetti, é o suposto apagão de arquivos em resposta ao ataque, já que o procedimento de segurança é regulamentado pela ISO 27037, norma que orienta o tratamento de evidências digitais.

Em situações do tipo, o correto, acrescenta ela, seria dividir a ação do time de defesa em pelo menos duas linhas:

• uma para frear o ataque o mais rápido possível.
• outra para criar as cópias forenses do cenário do ataque para gerar uma evidência digital para as investigações.

O Gabinete da Presidência não informou se há cópias forenses do incidente.

Para Daniel Barbosa, pesquisador da empresa de segurança online ESET, a decisão de formatar ou não depende como a equipe responsável trabalha nesses casos e do que está no Plano de Resposta a Ameaças da instituição:

"Quando você tem uma infecção em um ambiente, se você tem capacidade de analisar o que aconteceu ali, é interessante realmente não apagar os dados que estão nos computadores testados."

"Tudo o que um profissional técnico deseja é estudar o detalhe do detalhe do incidente para aprender com ele e evitar que se repita. Esse é um posicionamento altamente difundido na área. Apagar a evidência é a última coisa que se faz", complementa Benetti.