O Coletivo de hackers Cyberteam garante que, desde o início do ano, que tem forma de entrar nos sistemas da EDP – mas pelo contrário apenas terá precisado de 24 horas para conseguir entrar nos sistemas da Altice. Ambos os ataques reivindicados tiveram por base falhas nos sistemas de bases de dados MySQL, que são usadas em subdomínios geridos pelas duas empresas, informa um representante do grupo de hackers. Mas esta é apenas um dos dois ataques que afetaram a EDP durante esta semana. Na denominada Dark Web, está a decorrer um contrarrelógio para o pagamento de um resgate de quase 10 milhões de euros em bitcoins, para a libertação de um repositório com mais de 10 TB de dados de clientes, sistemas e profissionais da distribuidora elétrica. O repositório foi sequestrado através de uma infeção por ransomware. E o prazo de pagamento acaba por volta do meio-dia de sábado.
Os hackers de identidade ainda desconhecida colocaram na Dark Web uma amostra dos 10 TB de dados que, alegadamente, foram obtidos através do ataque às redes da EDP. Nessa amostra que pretende funcionar como prova da validade do ataque, é possível encontrar “printscreens” de pastas que, eventualmente, só estarão ao alcance de um pequeno conjunto de pessoas, pois mostram os diferentes “nós” de rede. Nesse conjunto de nós é possível reconhecer denominações conhecidas: “edpindustrial”, “edpcomercialb2b”, “edpholding”, “edprenováveis”; “edpinocacao”, “edpinternational”, entre outras.
Além de muitos outros printscreens, relativos a diretorias e pastas que se encontram em níveis inferiores da rede, os hackers publicaram ainda uma extensa tabela, com milhares de passwords, que está redigida em castelhano, mas tem vários nomes portugueses e também múltiplas referências a operações que o grupo tem noutros países (a EDP está presente em 19 países).
Noutros ficheiros disponíveis na mesma página da Dark Web, é ainda possível encontrar uma descrição exaustiva de vários ficheiros, pastas e diretorias da rede da EDP. Os nomes desses ficheiros levam a crer que tanto podem dizer respeito a cauções como contratos, ou manuais e faturações, bem como casos contenciosos e ações de manutenção, ou ainda prejuízos e dados de navegação na Internet, entre múltiplos ficheiros relativos a passaportes e cartões do cidadão, e tantos outros documentos que devem manter-se confidenciais ou reservados.
Apesar de os nomes levarem a crer que os hackers acederam à base de dados, os conteúdos dos ficheiros não foram publicados aquando deste pedido de resgate.
O ataque terá sido levado a cabo através de uma ferramenta que tem vindo a ser muito usada desde o início do ano para “sequestros virtuais” e que dá pelo nome de Ragnar Locker. Segundo um especialista na matéria, esta ferramenta tem como principal característica diferenciadora o facto de proceder à cópia dos dados do computador infetado, antes de o bloquear. O que permite que os atacantes ganhem dois tipos de armas na hora da chantagem: no caso de as vítimas não quererem pagar o resgate e não se importarem de perder a informação bloqueada, então ameaça-se com a divulgação pública.
“Neste momento, esta publicação é temporária, mas pode tornar-se uma página permanente e nós também podemos vir a publicar esta fuga de informação junto de jornais famosos e blogues, e também notificaremos todos os vossos clientes, parceiros e concorrentes. Portanto, depende de vocês se querem tornar isto público ou confidencial”, refere a mensagem de sequestro dirigida pelos hackers aos responsáveis da EDP– mas que possivelmente será apenas uma mensagem formatada que é apresentada a todas as vítimas destes hackers.
O pedido de resgate está colocado na página criada pelos hackers na Dark Web – mas a EDP nega alguma vez ter recebido esse pedido por via formal. Pelo que se desconhece se a empresa vai mesmo pagar o resgate solicitado pelos cibercriminosos.
Apesar de admitir que parte dos serviços e operações da rede interna foi afetada, a EDP reitera que as “infraestruturas críticas nunca estiveram comprometidas”, e por isso tem mantido a “operação com normalidade”
A distribuidora elétrica informa que os serviços de alerta dispersos pela rede terão permitido conter as tentativas de intrusão na rede. Ainda não há uma confirmação final quanto ao tipo de informação extraída pelos ataques.
“Toda a situação está a ser avaliada e temos equipas dedicadas a restabelecer o normal funcionamento dos sistemas o mais rapidamente possível – esse restabelecimento, em especial dos serviços e operações direcionadas para os clientes que sofreram alguns condicionamentos, é neste momento a nossa prioridade. Não existe neste momento nenhuma evidência acerca do volume ou do tipo de informação que possa ter sido comprometida”, informa ainda a distribuidora de eletricidade.
O segundo ataque
A análise que os especialistas da EDP terão de fazer será sempre complexa – até porque na mesma semana em que decorreu o ataque de ransomware pelo grupo de hackers não identificado, ocorreu um segundo ataque de negação de serviço (DDoS) que foi lançado pela Cyberteam. Zambrius, o “nome de guerra” do líder do grupo de ciberativistas, nega qualquer pedido de resgate – e garante que nada tem a ver com o caso de ransomware que veio da Dark Web. A informação extraída pelo coletivo Cyberteam, que tem ligações aos Anonymous, será entregue “às autoridades ou diretamente para o tribunal, logo veremos a ideia da Cyberteam”, garante o representante do coletivo de hackers.
Zambrius refere ainda que, nos ataques levados a cabo pela Cyberteam, foi possível aceder a dados que vão de 2009 à atualidade e que, garante o mentor do coletivo de hackers, chegam a conter ficheiros com dados descritivos de 600 mil pessoas e/ou empresas.
Em declarações para a Exame Informática, Zambrius garante que nada sabe do grupo que exigiu à EDP um resgate a partir da Dark Web.
“Esta semana realizámos um ataque DDoS na EDP e, logo de seguida, anunciámos (o ataque à) Altice”, informa o líder da Cyberteam sem deixar de revelar: ”a CyberTeam manejava os servidores da EDP desde o início do ano, e (os profissionais da EDP) não foram capazes de identificar possíveis “intrusos” nos seus sistemas”.
O líder da CyberTeam lembra ainda que, a 4 de março, a Cyberteam lançou um conjunto de ataques, que levou à publicação de dados pessoais funcionários ou clientes da EDP e de outras entidades públicas e privadas, como clubes de futebol, correios, bancos, Marinha ou câmaras municipais.
Altice também atacada
Em contrapartida, o ataque à Altice foi feito sem grande tempo de preparação, garante Zambrius: “Em menos de 24 horas, foi possível aceder ao seu banco de dados”. Desse alegado ataque resultou a publicação de 10 mil registos relativos a endereços e passwords profissionais da operadora. Os hackers garantem que a amostra corresponde apenas a uma pequena parte do volume de dados alegadamente extraídos durante os ataques desta semana.
A Altice Portugal confirma ter sido alvo de ataque, mas garante que as consequências “foram praticamente nulas”. “Todos os dias somos alvo de ataques cibernéticos sem que estes causem impacto nos nossos sistemas ou operações, devido ao trabalho diariamente executado e ao desenvolvimento de nova tecnologia e software pela nossa DCY (Direção de de Cibersegurança e Privacidade) da área do CTO da Altice Portugal. Este trabalho desenvolvido internamente tem-se revelado precioso e decisivo na defesa das nossas operações e proteção dos nossos clientes”, refere a operadora.
A Altice Portugal considera que a publicitação dos ataques fomenta a “continuidade desta lamentável e perigosa atividade criminosa” e informa ainda que já comunicou os ataques às autoridades”.
