Passava sensivelmente meia hora depois das quatro da tarde de sexta-feira, 3 de agosto, quando soou o alerta: alguns dos sistemas dos hospitais da rede CUF, uma das maiores redes privadas de saúde do país e que pertence ao grupo José de Mello Saúde (JMS), ficaram bloqueados. Os funcionários foram informados, num alerta interno, que por precaução teriam de desligar os computadores nos quais estavam a trabalhar..Leia também: As 12 coisas que precisa mesmo de apagar do seu Facebook.O azar tinha batido à porta. Os hospitais CUF foram atingidos por um ataque informático protagonizado por aquele que é um software malicioso que tem tanto de letal como de requintado. O vírus SamSam espalhou-se pela rede da empresa portuguesa sem dó, nem piedade. É assim que funcionam os ransomware: bloqueiam os dados contidos no computador e pedem um resgate, normalmente na criptomoeda Bitcoin, para a sua libertação..Na prática os dados dos sistemas afetados ficam trancados por uma combinação única de caracteres (uma cifra) e só o atacante tem a cifra que pode fazer esse desbloqueio. No computador das vítimas aparece uma mensagem com os passos necessários para recuperar os dados.O que os informáticos do JMS e os peritos das autoridades vão acabar por descobrir, é que o ataque não começou naquela sexta-feira fatídica. Começou antes, provavelmente até muitos meses antes, de ter mostrado as suas garras..“Normalmente o que o atacante faz é entrar no sistema e fazer uma investigação sobre a sua vítima. Uma vez que tem toda a informação e encontra qual o equipamento mais vulnerável, é quando executa o ransomware. Por isso pode permanecer escondido durante um ano, o que fazem durante esse tempo é investigar, recolher informação e localizar vulnerabilidades de sistemas”, explicou Ivan Mateo Pascual, engenheiro da empresa de segurança informática Sophos, à Insider..A tecnológica britânica dedicou seis meses de trabalho ao SamSam, pelo perfil quase único deste ransomware. Lembra-se de em 2017 um vírus chamado WannaCry ter afetado dezenas de milhares de computadores em centenas de países? O SamSam funciona de forma completamente oposta..Este software malicioso envolve muito trabalho manual. É direcionado de forma específica para cada uma das vítimas que ataca – o que leva a crer que os hospitais CUF estavam na lista de alvos de quem fez o ataque. E como é um trabalho quase de ‘artesão’, então o preço a pagar pelas vítimas também acaba por ser muito mais elevado..“Para terem uma ideia, um ransomware normalmente pede 300 a 500 euros de resgate. A média dos resgates que pede o SamSam ronda os 45 mil euros”, revela Ivan Mateo Pascual..Leia também | Conheça a nova ameaça na internet que está afetar os portugueses.O SamSam não é um novato do mundo do cibercrime. Começou a espalhar o pânico pela primeira vez em 2015 e é um ransomware que faz de tudo para não se tornar mediático. Ao contrário de outros vírus, não está à venda em páginas da dark web para que qualquer um o possa usar. Ao contrário de outros criminosos, quem usa o SamSam também não se gaba publicamente dos seus resultados – e acredite que já tem motivos para isso..O estudo elaborado pela Sophos revela que, em pouco mais de dois anos, o SamSam já conseguiu ‘sacar’ 5,2 milhões de euros às suas vítimas. Por escolher de forma criteriosa os alvos de ataque, por norma grandes organizações ligadas ao sector público ou à área da saúde, tem uma alta taxa de conversão no pagamento de resgates..“O objetivo é que quando encontra uma vítima, seja uma vítima na qual seguramente vai conseguir algum resultado. Estima-se que em cada quatro vítimas do SamSam haja um pagamento de resgate”, salientou o perito da Sophos..O SamSam tem ainda outra particularidade, que acabou por não se confirmar no ataque feito à CUF: é seu hábito atacar de noite, quando já quase ninguém está em frente ao computador, para poder infetar o maior número de máquinas possível e sem que haja uma resposta pronta..No meio da desgraça que sofreu, talvez o grupo José de Mello Saúde tenha tido uma ponta de sorte – como o ataque aconteceu a meio da tarde, foi possível responder de forma célere ao incidente..“Temos sistemas de segurança informáticos muito desenvolvidos, o que nos permitiu ter uma resposta célere e robusta na deteção e controlo do vírus”, explicou a empresa, numa resposta enviada por email..Ainda assim, os hospitais CUF viram-se obrigados a desmarcar consultas e exames considerados como não urgentes e a plataforma My CUF, direcionada para os utentes, também privou os utilizadores de acederem ao seu histórico de exames..À Insider, o grupo JMS disse estar “a trabalhar na reposição total do sistema informático, o que está a acontecer de forma gradual, prevendo-se o regresso à completa normalidade no decorrer da próxima semana”. O ataque foi de imediato controlado e a empresa garante que não houve acesso a qualquer tipologia de dados. “Comunicámos à Comissão Nacional de Proteção de Dados esta situação”..Ivan Mateo Pascual diz que mesmo com boas defesas, parar uma ameaça como o SamSam é muito difícil. “Uma vez que o atacante encontra a vítima, analisa tudo à sua volta, procura por vulnerabilidades para se poder propagar. Sistemas de deteção mais tradicionais não vão conseguir pará-lo. É muito complicado que um sistema tradicional o consiga detetar”..O próximo passo é encontrar o ‘buraco’ que foi a porta de entrada deste vírus..Em março, os sistemas da cidade de Atlanta, nos EUA, ficaram paralisados, cortesia do SamSam. A cidade acabaria por gastar perto de 2,2 milhões de euros para resolver todos os problemas causados pelo ataque..Antes, em fevereiro, o Departamento de Transportes do estado norte-americano do Colorado, também nos EUA, foi igualmente vítima do ransomware. Estima-se que a fatura total com a recuperação tenha ascendido ao equivalente a 1,3 milhões de euros..Estes custos não dizem respeito ao pagamento do resgate das máquinas e da informação. Dizem sim respeito às despesas relacionadas com a recuperação de todos os sistemas afetados..Apesar da frieza e do impacto brutal dos ataques feitos por ransomware, a verdade é que são ataques de fácil resolução. Se o utilizador ou a empresa tiver um cópia de segurança atualizada dos ficheiros, então tudo o que precisa de fazer é reinstalar tudo de origem nos computadores e restaurar os dados..No caso que envolveu os hospitais CUF, o grupo José de Mello Saúde não comenta qualquer questão relacionada com o tópico do resgate. O que a empresa diz é que está totalmente focada “na reposição da completa normalidade do sistema”..A empresa também ainda não fala da possível causa do ataque. Mas sabendo como o SamSam ataca lá fora, é possível perceber melhor como o terá feito ‘cá dentro’..“Existem vários vetores de ataque, como por exemplo, os de força bruta [tentativas sucessivas de acesso] ou a exploração de vulnerabilidades a máquinas com acesso remoto, protocolo de transferência de ficheiros ou alguns servidores aplicacionais”, explicou o Centro Nacional de Cibersegurança (CNCS)..O organismo responsável pela cibersegurança em Portugal foi notificado logo na sexta-feira do ataque e desde então tem estado a trabalhar em conjunto com os serviços do grupo JMS e com a Unidade Nacional de Combate ao Cibercrime e a Criminalidade Tecnológica (UNC3T), da Polícia Judiciária, na investigação ao caso..Só quando a análise forense estiver concluída é que haverá certezas relativamente à forma como o vírus entrou nos hospitais da CUF. “Estamos a fazer uma análise profunda, em conjunto com todos parceiros e com as autoridades competentes sobre toda a situação, mas ainda é prematuro falar sobre isso”, acrescenta a JMS..“O que tem acontecido normalmente é que [o SamSam] aproveita-se de uma vulnerabilidade e [o atacante] consegue aceder a um serviço, simplesmente conseguindo uma palavra-passe, e a partir daí move-se dentro da empresa”, explicou o perito espanhol da Sophos..Qual quebra-cabeças, um dia que se conhecer a rota de entrada do SamSam, então começa outro desafio tão ou mais complexo – tentar encontrar pequenas ‘migalhas’ que ajudem a identificar o autor do ataque..“A atribuição dos ataques é dos aspetos mais complexos a identificar e requer uma análise profunda e demorada dos registos que ficaram entretanto no sistema”, adianta, desde já, o CNCS..Carlos Cabreiro, diretor da UNC3T, confirma que as características únicas do SamSam não vão tornar fácil a investigação. “Não temos uma característica comum ao ataque, pode haver alvos diferenciados, não ataca vulnerabilidades que de alguma forma já vão sendo conhecidas”, refere..A José de Mello Saúde confirma que foi apresentada queixa na Polícia Judiciária e que além da cooperação com o CNCS, também está em contacto com o Centro Europeu de Cibersegurança e “múltiplos parceiros especialistas nesta área”..Uma das características que se destaca no SamSam é que, depois de mais de dois anos de vítimas e milhões de euros em prejuízo, ainda não há grande ideia de quem possa estar por trás desta ‘arma’. A Sophos diz mesmo que há suspeitas de que este ransomware seja controlado não por um grupo de piratas informáticas, mas por uma única pessoa..“O objetivo principal, como investigação criminal, é chegar à determinação da autoria dos factos. Por vezes pode estar complicada, pode estar encoberta, pode ter dificuldades acrescidas, é um facto. Mas que fruto da colaboração, como disse, na área do malware com a Europol e com outros países, tenderemos a diminuir o fenómeno”..É desta forma que a Polícia Judiciária vai abordar este caso específico, sobretudo pela falta de histórico do SamSam em Portugal. O CNCS confirmou nunca ter recebido “qualquer outra notificação de casos associados ao ransomware SamSam”..Os poucos indícios que existem – como os erros ortográficos em inglês que surgem no ecrã dos computadores das vítimas -, parecem sugerir que o autor do SamSam não é nativo da língua inglesa – ou está a disfarçar. Potencialmente pode ser de um país de leste..O líder UNC3T diz que “as situações de malware são das situações com mais denúncias neste momento” e que esta é uma “preocupação constante” para a Polícia Judiciária. Carlos Cabreira deixa, no entanto, uma nota positiva sobre as organizações portuguesas: “grande parte das nossas empresas felizmente já vão estando cientes da necessidade de investimento em segurança informática”..No final, o especialista em segurança informática da Sophos deixa um aviso e um conselho: cuidado, pois se antes o SamSam atacava sobretudo organismos públicos, as empresas privadas também têm sido afetadas; e que por isso é importante ter cópias de segurança dos sistemas em dia, ferramentas de proteção dedicadas e aumentar as requisitos de todos aqueles que acedem aos sistemas fora dos computadores da empresa..No meio de tantas dúvidas relativamente ao horribilis SamSam, há pelo menos uma certeza: já descobriu o caminho para Portugal..Veja mais sobre tecnologia em insider.dn.pt