https://tek.sapo.pt/opiniao/artigos/opiniao-incidente-de-6-de-junho-de-2023-o-que-aconteceu-o-que-significa-para-seguranca-do-estado-e-para-a-ciberseguranca-dos-cidadaos-e-empresas

https://tek.sapo.pt/opiniao/artigos/opiniao-sobre-o-ataque-ao-ministerio-da-economia-de-6-de-abril-de-2023-que-continua

Um dos gangs de cibercriminosos mais activos da actualidade e que tem criado sérios danos nos países lusófonos (o SNS do Brasil e a Vodafone, Parlamento, Expresso e a SIC), Reino Unido e EUA é conhecido como LAPSUS$ ou DEV-0537.

O LAPSUS$ distingue-se de outros grupos semelhantes por se concentrar num modelo diferente da maioria: enquanto grupos como o Conti (agora desorganizado em consequência da guerra na Ucrânia) ou os Wizard Spider, Viking Spider e Lockbit – baseados na Rússia e integrando desde Julho de 2021 um “cartel” – se dedicam mais a encriptar ficheiros de alvos e a exigirem resgates em troca das chaves de encriptação o LAPSUS$ age de forma diferente: usa um modelo mais clássico de extorsão e destruição. O grupo começou por se interessar por alvos no Reino Unido e na América Latina mas, mais recentemente, expandiu a sua acção a outros países e designadamente a Portugal focando-se em sectores onde outros grupos têm preferido manter uma distância higiénica (para não chamarem demasiada atenção das autoridades) tais como o sector governamental, saúde e comunicações. Essa sua implacabilidade é, em si mesma, uma pista sobre a sua natureza podendo indicar que é composto por pessoas muito jovens, provavelmente do sexo masculino.

O grupo terá ficado activo em meados de 2021 mas o primeiro ataque foi identificado apenas em Agosto desse ano através de mensagens de SMS enviadas a utilizadores britanicos contendo a frase: “We are LAPSUS$, remember our name, we have your userdata. we have EE’s, BT and Orange source code. If EE pay us 4 millions USD in XMR before the 20th august, we will delete everything from our servers. XMRADDR: 42qLW1FIEDQKjeoSAFQRXaVpSUx B8fTYJ2Zeah8dcDTYDEjCb71iCR76 ctGMysAB4nj3MTTCE5GuJMsC1eL uwKdu7v6FKf3”. A mensagem foi enviada a 1 de Agosto a vários britânicos depois destes terem feito aquisições de aplicações no iTunes com o seu cartão de crédito. Apesar disso, os telemóveis não pareciam comprometidos mas havia indícios de que uma operadora móvel britânica tinha sido invadida. Meses depois, na madrugada em 10 de Dezembro de 2021 (um padrão nas acções deste grupo), foi a vez do Ministério da Saúde do Brasil tendo sido afectados os sistemas e-SUS Notifica, o Sistema de Informação do Programa Nacional de Imunização (SI-PNI), ConecteSUS e assim como a emissão do Certificado Nacional de Vacinação COVID-19 e da Carteira Nacional de Vacinação Digital. Em consequencia estas plataformas ficaram indisponiveis e nunca recuperaram na totalidade. No ataque ao Ministério da Saúde foi colocada uma mensagem na homepage do site, em português, com a frase:
“LAPSUS$ GROUP VOCÊ SOFREU UM RANSOMWARE
OS DADOS INTERNOS DOS SISTEMAS FORAM COPIADOS E EXCLUÍDOS. 50 TB DE DADOS ESTÁ EM NOSSAS MÃOS.
NOS CONTATE CASO QUEIRAM O RETORNO DOS DADOS.
TELEGRAM: https://<editado>/minsaudebr
E-MAIL: saudegroup@<editado>.com“
Simultaneamente, foi também alterado o registo MX o que permitiu que o grupo pudesse receber durante algum tempo todos os mails enviados para o domínio do Ministério da Saúde brasileiro. Estes ataques parecem ter explorado a técnica conhecida como “DNS Hijacking” em que um agente malicioso consegue acesso ao domínio de DNS e encaminha um tráfego para uma página sob seu controlo e com os conteúdos que deseja apresentar ao público. Neste ataque foi colocada a correr a informação de que o LAPSUS$ seria formado essencialmente por colombianos e um espanhol mas a fonte desta informação nunca foi localizada e poderia ter sido lançada pelos membros do grupo para despistarem os investigadores. Que o grupo tinha membros brasileiros parece ter sido confirmado pela referência recente a um “jovem brasileiro de 16 anos” e ao texto que apareceu associado a este ataque que usava a versão brasileira do português assim como a natureza dos seus primeiros alvos: “Vamos explicar algumas coisas: o nosso único objetivo é obter dinheiro, não ligamos para a família Bolsonaro (vulgo Bolsofakenews) de m**”, escreveu o grupo durante os ataques, iniciados no passado dia 10 de dezembro, em resposta a uma primeira reação das autoridades policiais brasileiras sobre alegadas motivações políticas do Lapsus$ Group. Com efeito, o ataque teve um componente de intervenção política porque surgiu no contexto dos protestos contra uma “passaporte de vacinação” para quem visitasse o Brasil a partir do estrangeiro e isso reforça a ideia de que o grupo tem membros influentes no Brasil o que afasta a tese de que “é composto por colombianos e um espanhol”. No ataque à portuguesa Vodafone (empresa originária do Reino Unido) a linguagem utilizada também dava a entender a origem brasileira do ataque com a publicação no Telegram da mensagem: “O que devemos “vazar” primeiro”? Os dados da Impresa, os dados da Vodafone ou os de uma operadora telefónica, a T-Mobile?”.

Os primeiros ataques, a natureza política do ataque no Brasil indicam que o grupo é composto por britânicos e integra brasileiros e, de facto, a 25 de março estes indícios foram confirmados. A política britânica na manhã deste dia deteve sete pessoas com idades entre os 16 e os 21 que seriam o “ramo britânico” do LAPSUS$. Os indivíduos residiam em Oxford e seriam comandados por um adolescente de 16 anos que usava os nomes de “White” e “Breachbase” que terá sido identificado por hackers rivais quando perdeu o controlo do Doxbin: um site de procura e divulgação de informações pessoais de “pessoas de interesse”. O fundador deste site, um certo de “nachash” (serpente em hebraico) poderia ser “White” (embora dada a sua idade possa ser um dos outros sete detidos). O site continha números de segurança social, informação bancária e de cartões de crédito foi um dos alvos da operação policial multinacional “Onymous” de 2014.

Segundo site TechCrunch quando renunciou ao controlo do Doxbin publicou todos os dados no site no Telegram o que levou alguns rivais que constavam desta publicação a divulgarem dados pessoais sobe o próprio “White”/”nachash” como o endereço postal e fotografias nas redes sociais e terão sido estes dados que colocaram a polícia de Londres no seu encalce levando à sua detenção e à dos restantes seis membros do grupo.

Para saber mais:
https://unit42.paloaltonetworks.com/lapsus-group/
https://community.ee.co.uk/t5/Online-safety/Lapsus-Text/td-p/1067036/page/2
https://www.aa.com.tr/en/americas/brazil-hackers-take-down-ministry-of-health-website/2444317
https://economia.uol.com.br/noticias/reuters/2021/12/10/sistema-do-ministerio-da-saude-e-atacado-por-hackers.htm?cmpid=copiaecola
https://www.zdnet.com/article/who-are-lapsus-and-what-do-they-want/
https://tek.sapo.pt/noticias/computadores/artigos/hackers-do-lapsus-group-ameacam-divulgar-dados-da-impresa-e-da-vodafone-na-internet
https://en.m.wikipedia.org/wiki/Doxbin
https://techcrunch.com/2022/03/24/london-police-lapsus-arrests/

CpC – Cidadãos pela Cibersegurança

Chegámos ao ponto em que os Estados têm que tomar uma decisão sobre o que fazer quanto às criptomoedas. O aumento explosivo do ransomware em 2021 com uns estimados 102.3 milhões de dólares anuais e mais de 60 variantes diferentes (com as variantes REvil/Sodinokibi, Conti, DarkSide, Avaddon, e Phobos em especial destaque) a dependência estabelecida e necessária entre as criptomoedas, e especialmente a Bitcoin e o cada vez mais amplo leque de alvos desde particulares, hospitais, escolas, esquadras de polícia, autarquias e empresas deveria estar a colocar sobre a mesa dos decisores políticos a necessidade de regular as criptomoedas.

Recentemente, Espanha lançou uma série de regulações sobre o aumento exponencial da publicidade a criptomoedas usando redes sociais, influenciadores e entregando ao regulador do mercado de capitais a competência de autorizar este tipo de campanhas e garantir de que os consumidores têm plena consciência dos riscos.

Por outro lado, e num contexto em que a resposta às alterações climáticas induzidas pela actividade humana se torna cada vez num imperativo urgente e directamente relacionada com a sobrevivência da civilização tal como a conhecemos é preciso que Portugal e a União Europeia se movam rapidamente no sentido de proibir a prática de mineração de criptomoedas e que a entrevista recente do vice-presidente da European Securities and Markets Authority (ESMA) Erik Thedéen onde este pediu um bloqueio a nível europeu desta actividade devido ao seu impacto no consumo energético. Com efeito o cumprimento dos objectivos de Paris, o facto de actualmente 0,6% de toda a energia global ser destinada para esta atividade improdutiva. Pode parecer pouco… mas não é. Só a mineração de Bitcoins (a criptomoeda mais popular) consome tanta energia como a Tailândia, já excede o total de emissões de toda a indústria extractiva de ouro e emite um total estimado de 90 megatoneladas de CO2 anuais (numa subida a partir de 22 em 2019).

Nos começos de Janeiro de 2022, o Kosovo já baniu a mineração de criptomoedas no seu país como forma de reagir à mais grave crise energética da última década. É preciso que a Europa passe das palavras e acção e tome medidas no sentido de proibir a mineração de criptomoedas no espaço europeu.

Defendo que deve ser criada Legislação Europeia e na República Portuguesa que determine que o Cibercrime é uma forma de criminalidade transnacional. O facto de se tratar de uma realidade muito móvel e altamente tecnológica e especializada tem permitido que isto aconteça assim como uma certa lentidão por parte das autoridades nacionais e internacionais na reacção a esta nova realidade: muito complexa e rápida. Apesar disso, a escala do problema (8 biliões de USDs em 2018, 11.5 em 2019 e 20 em 2021), o aumento do mesmo (600% no último ano) e a dependência crescente da Internet por parte das organizações cria cada vez mais vulnerabilidades e torna mandatório que se crie um quadro legal mandatório que determine um conjunto de protecções e defesas que protejam os indivíduos, as organizações e os Estados europeus contra esta ameaça cada vez maior, cada vez mais grave.

É assim preciso criar legislação europeia que:
1. Determine que todas as organizações: independentemente da sua escala tenham que ter um orçamento anual para cibersegurança.
2. Que o Centro Nacional de Segurança
3a. Cumpra o CPA designadamente os prazos de resposta
3b. Possua equipas de cibersegurança que façam auditorias surpresa a empresas nacionais acima de um certo volume de facturação e
3c. As equipas do CNS possam assistir na resolução de cada incidente sendo chamadas obrigatoriamente podendo ter ou não um papel activo ou consultivo consoante a organização tenha equipas de cibersegurança à altura da ocorrência
4. Que Portugal e a Europa tenham políticas de sancionamento contra os Estados que permitem que os grupos de hackers actuem impunemente nas suas fronteiras
5. Que se faça, a nível europeu e nacional, uma avaliação da utilidade económica das criptomoedas e se esta avaliação concluir que não têm valor para a economia real mas apenas como produto especulativo e ferramenta para uso por cibercriminosos e traficantes de droga o seu uso, mineração, posse e manipulação deve ser proibido em Portugal e no espaço europeu e que Portugal tome a dianteira e proíba a mineração de criptomoedas no seu território
6. Que todas as despesas relacionadas com cibersegurança tenham IVA mínimo
7. Que seja proibido o pagamento de resgates por ransomware
8. Que todas as organizações nacionais acima de um certo volume de facturação:
a. tenham nos acessos remotos (VPN e Internet) aos seus recursos formas de autenticação por duplo factor
b. realizem testes de penetração (pentests) anuais
c. que existam seguros contra os impactos de ransomware na actividade da organização
d. backups offline, uma equipa especializada de cibersegurança
e. tenham um plano de formação online dedicado à cibersegurança com aprovação obrigatória por parte de todos os seus colaboradores.

Enviada em forma de petição ao Parlamento Europeu.

Rui Martins