A 6 de abril vários sites do Ministério da Economia foram vítimas de um “ataque informático parcial” que, a 7, já teria sido recuperado em 85% e cujo alcance teria sido “contido” por “medidas preventivas” (provavelmente via um rápido desligamento de máquinas e serviços). Um dos sites que continuava afectado era o do Turismo de Portugal (http://www.turismodeportugal.pt) que às 1830 de hoje continuava inacessível.
Este site assenta no IP 195.225.181.134 e próximos estão outros sites
(por IP, Domain DNS, quantidade de sites):
195.225.181.143 portuguesemusicfestivals.com (OK) 24
195.225.182.8 iapmei.pt (em baixo: com erro de forward) 6
195.225.180.70 sgeconomia.gov.pt (OK mas com certificado inválido) 5
195.225.181.118 impic.pt (em baixo: com erro 403) 4
195.225.182.10 innovationscoring.eu (OK) 4
195.225.180.119 asae.gov.pt (em baixo: com erro de forward) 2
195.225.181.134 turismodeportugal.pt (erro: com reset) 2
195.225.181.138 visitportugal.com (OK) 2
195.225.181.229 zonaslivrestecnologicas.pt (OK) 2
195.225.182.14 startupvisa.pt (OK) 2
Fonte:
https://ipinfo.io/AS202277/195.225.180.0/22#block-domains

A alegação oficial era de que o ataque “não comprometeu dados” mas em alguns sites eram fornecidos serviços online nomeadamente nos que ainda estão agora offline:

iapmei.pt:
“SERVIÇOS ONLINE
Certificação PME
MAP – Mecanismo de Alerta Precoce
Plataforma para compensação da RMMG”
https://arquivo.pt/wayback/20220804044846/https://www.iapmei.pt/

sgeconomia.gov.pt:
“denúncias e queixas”:
https://arquivo.pt/wayback/20220802064211/https://www.sgeconomia.gov.pt/denuncias-queixas1.aspx

asae.gov.pt:
“Área Reservada”
https://arquivo.pt/wayback/20220801173833/https://www.asae.gov.pt/

Em qualquer um destes exemplos há dados confidenciais ou seguros através de processos de autenticação (seguros? com dupla autenticação?). Se conforme consta nos Media na origem deste incidente esteve “um programa nocivo que bloqueia o sistema até que o resgate seja pago”, ou seja, um ransomware que, aparentemente, não terá sido pago (uma tendência que – felizmente – tem aumentado nos últimos meses). Se houve encriptação de ficheiros, houve acesso a dados e – nestes casos – ocorre quase sempre exflitração de dados ou para provar a posse dos ditos ou para os expôr caso não ocorra (como não parece ter ocorrido) o pagamento do resgate. Assim sendo estes dados confidenciais poderão já estar na posse dos hackers: é até mais provável que estejam do que não estejam.

O facto de existirem vários IPs ainda em baixo revela que se tratou de um ataque em larga escala e a rapidez com que outros sites foram recuperados parece apontar que os responsáveis de TI do Ministério repuseram imagens de máquinas virtuais (backups de muito curto prazo). Sabendo que um grupo malicioso está activo – em média – numa rede da dimensão da do ministério os atacantes tendem a estar activos 20 dias (51 em organizações com até 250 trabalhadores)
https://www.sophos.com/en-us/press/press-releases/2022/06/attacker-dwell-time-increased-by-36-percent-sophos-active-adversary-playbook-2022-reveals
Isto pode significar que a “táctica rápida” de reposição pode ter deixado backdoors ou as ferramentas de inflitração activas na rede ou nas máquinas atacadas: esperamos que – neste momento – esteja a ser feita uma intensa verificação de logs e anomalias e que, simultaneamente, se esteja a preparar um plano de recuperação de dados anteriores a – pelo menos – 20 dias.

O que se passou (e continua a passar) no Ministério da Economia indica que ainda não apostamos suficiente em formação junto dos utilizadores “comuns” das redes já que, neste caso, a porta de entrada foi muito possivelmente uma campanha de phishing por email

O ministério da economia até tem apostado em cibersegurança, conforme portal da contratação pública:
“Aquisição de serviços especializados no âmbito da cibersegurança, para suporte e manutenção das soluções de segurança em utilização na Secretaria-Geral do Ministério da Economia e do Mar”, Jupiterstrategy – Consultoria Informática Lda” por 56.500,00 € a 25-11-2022 e
“Aquisição de serviços de consultoria em matéria de cibersegurança” à “EASYTHINK – CONSULTORIA EM COMUNICAÇÕES E SISTEMAS DE INFORMAÇÃO UNIPESSOAL, LDA” por 19.799,04 € a 26-07-2022″

Mas não consta entre as duas (apenas) autarquias que investiram em ações de formação em cibersegurança: o que é uma lacuna grave.

Propostas da CpC que poderia ter impedido este ataque:

Regulação de Criptomoedas, Democracia Participativa no Parlamento Europeu e propostas concretas para o Governo português
https://cidadaospelaciberseguranca.com/2023/02/04/regulacao-de-criptomoedas-democracia-participativa-no-parlamento-europeu-e-propostas-concretas-para-o-governo-portugues/

É preciso impor um padrão de cibersegurança aos fornecedores do Estado
https://cidadaospelaciberseguranca.com/2022/07/11/e-preciso-impor-um-padrao-de-ciberseguranca-aos-fornecedores-do-estado/

Quebrar o ciclo do Ransomware
https://cidadaospelaciberseguranca.com/2022/07/09/quebrar-o-ciclo-do-ransomware/

Um programa nacional de recompensa de identificação de vulnerabilidades em serviços de TI do Estado e das autarquias locais
https://cidadaospelaciberseguranca.com/2022/05/30/um-programa-nacional-de-recompensa-de-identificacao-de-vulnerabilidades-em-servicos-de-ti-do-estado-e-das-autarquias-locais/