O grupo de hackers que atacou os servidores da EDP com ransomware começou a divulgar dados internos da distribuidora de eletricidade na Dark Web, na sequência de um pedido de resgate que aparentemente não foi pago. Depois de, numa primeira vaga, revelar milhares de passwords de utilizadores das várias unidades e empresas do grupo EDP a meados de abril, o grupo de cibercriminosos não identificados avançou com a publicação de um plano de crise e uma folha de cálculo com vários detalhes de centenas de funcionários de uma das participadas que o grupo empresarial tem nos EUA.
Tirando os dados pessoais e a informação relacionada com a progressão na carreira ou os salários, a informação revelada esta terça-feira poderá não ser considerada crítica para o funcionamento da EDP. O documento revela procedimentos internos e potenciais fragilidades técnicas que poderão ser estudadas por cibercriminosos para lançarem futuros ataques, mas também não poderá corresponder a uma fuga de informação totalmente inédita, uma vez que as empresas cotadas em bolsa costumam ser obrigadas a definir e a divulgar planos de crise para garantir credibilidade junto de investidores e acionistas.
Antes da mais recente divulgação de dados internos da EDP, os mesmos hackers já haviam feito saber que tinham destruído as senhas de desencriptação dos ficheiros bloqueados através de um código malicioso de sequestro digital (ransomware), que terá sido introduzido nas redes da EDP através de uma empresa que presta serviços ao grupo empresarial, como noticiou a Exame Informática aquando do fim do primeiro prazo de pagamento de resgate.
Na sequência desse ataque, várias centenas de servidores da EDP ficaram bloqueados e, desde meados de abril, que a elétrica tem vindo gradualmente a tentar recuperar ou a substituir as máquinas afetadas, através dos tradicionais processos de contingência (backups, etc.).
Ao que a Exame Informática apurou também junto de fontes conhecedoras do processo, o contágio por ransomware só não assumiu proporções catastróficas devido ao facto de a rede de distribuição de eletricidade ter sido desenhada de forma a impedir ou limitar comandos e comunicações da rede informática que assegura a gestão de todas as atividades da EDP que não estão diretamente relacionadas com a produção e fornecimento de energia.
De acordo com o Expresso, os hackers também elevaram o valor do resgate exigido à EDP num segundo prazo apresentado à “elétrica” (a EDP sempre alegou não ter recebido qualquer pedido de resgate pela via formal). Em vez dos 10 milhões de euros pagos em bitcoins que foram exigidos no primeiro pedido de resgate, os hackers passaram a exigir o correspondente de 20 milhões de euros em bitcoins nesta segunda tentativa de chantagem.
Aparentemente, também esse segundo pedido não foi atendido – e os hackers reagiram ao “não pagamento” do resgate com a alegada eliminação das chaves de acesso que permitiriam desbloquear os computadores e servidores da EDP que foram infetados com ransomware. O que não deixa de assumir alguns contornos surpreendentes.
A primeira questão que se levanta é de ordem prática: ao garantirem que eliminaram as senhas de desencriptação da própria ferramenta de ransomware, os hackers estão a admitir que tornaram inviável a recuperação das máquinas infetadas por parte da vítima e, em consequência, que também desistiram de lucrar com um ataque que entretanto foi tornado público e deixou a “elétrica” em estado de vulnerabilidade. O que poderá não fazer muita lógica tendo em conta o modo de atuação dos cibercriminosos.
A este dado junta-se outro: já não há dúvidas de que os hackers conseguiram bloquear vários servidores da EDP, mas no circuito da cibersegurança, há quem não acredite que os hackers tenham conseguido extrair os 10 TB de informação que dizem ter em sua posse, sem que os sistemas de gestão de tráfego tivessem dado nota e correspondente alerta para o fluxo de informação movimentado para fora das redes da empresa.
Logo, a segunda questão que se levanta é: os hackers conseguiram mesmo aceder aos 10 TB de informação que dizem ter em sua posse? Para já, a única informação deveras comprometedora para a operacionalidade da empresa, e que poderia causar grandes distúrbios nas várias geografias que o Grupo tem em diferentes países, diz respeito ao ficheiro com milhares de passwords de profissionais da EDP que foi publicado na Dark Web aquando do primeiro pedido de resgate. E talvez só nos próximos tempos, caso sejam publicados mais documentos a título de vingança pelo facto de não ter sido pago um resgate, seja possível apurar o grau de criticidade dos dados que estão na posse dos hackers.
Na página entretanto atualizada na Dark Web, os cibercriminosos publicaram uma mensagem num tom moralista que também não ajuda a deslindar este caso: “Uma das maiores fornecedoras de energia da Europa, com vários milhares de milhões de euros de receitas, foi atacada e todas as suas medidas de segurança foram facilmente superadas. Um gigante como estes não pode dar-se ao luxo de ter uma rede tão frágil e com vulnerabilidades, é esta a nossa opinião! No entanto, eles não estão interessados em receber nenhumas recomendações para melhorar o nível de segurança oara evitar intrusões no futuro”.
