Organizações portuguesas são atacadas 926 vezes por semana

No seguimento do ataque à Colonial Pipeline, a maior operadora de oleodutos para produtos refinados dos Estados Unidos, a Check Point Research analisou o panorama de ciberameaças em Portugal e a capacidade de as empresas nacionais protegerem os seus recursos e dados corporativos.

Nos últimos seis meses, as organizações portuguesas foram atacadas, em média, 926 vezes por semana – quase mais 200 vezes que a média global, situada nos 750 ataques. Investigadores da Check Point Software alertam para a importância de adotar atitudes preventivas que evitem a proliferação e sucesso destes ataques.

No passado dia 7 de maio, a Colonial Pipeline, a maior operadora de oleodutos para produtos refinados dos Estados Unidos, afirmou estar a ser vítima de um ciberataque que obrigou a interrupção temporária de operações, por precaução. Três dias depois, o FBI emitiu um comunicado, informando que se tratava de um ataque de ransomware perpetrado pelo grupo malicioso Darkside. 

Identificado pela primeira vez em agosto de 2020, o Darkside utiliza um sistema Ransomware-as-a-Service (RaaS), fornecendo serviços de ransomware, fugas de informação de websites e outros. Utilizam um programa de parcerias, através do qual o agente malicioso fornece o ransomware, divulga informação do website alvo e negoceia o pagamento com a vítima. Os parceiros têm apenas de hackear as empresas e encriptar a informação após ter sido divulgada. No final de contas, os lucros são partilhados. Trata-se, de acordo com os investigadores da Check Point Research, de um ataque duplo de ransomware e extorsão, no qual parte da informação é partilhada num website falso, para que as vítimas sejam pressionadas a efetuar o pagamento, sob ameaça de divulgação integral. Os principais alvos são países de língua não-russa.

“Eis o que sabemos sobre o Darkside Ransomware: funciona num modelo Ransomware-as-a-Service (RaaS), partindo de um programa de parceiros para executar os ciberataques. Significa isto que sabemos muito pouco sobre o verdadeiro agente malicioso por detrás do ataque à Colonial Pipeline, já que pode ser toda a gente do lado dos parceiros do Darkside”, afirma Lotem Finkelsteen, Head of Threat Intelligence at Check Point. O responsável continua: “o que sabemos é que para derrubar operações extensivas como as da Colonial Pipeline é necessário um ciberataque sofisticado e bem planeado. Este ataque requer a adequação de um período de tempo que permita o movimento lateral e a extração de dados. O Darkside é conhecido por fazer parte de uma tendência de ataques de ransomware que envolve sistemas que a comunidade cibernética raramente vê envolvidos em redes comprometidas, como os servidores ESXi. Isto levanta suspeitas sobre a possibilidade de a rede ICS (sistemas de infraestruturas críticas) estar envolvida. O Ransomware é conhecido por ser implementado em numerosos ataques que incluem outras empresas petrolíferas e de gás (como a Forbes Energy services e Gyrodata)”. 

A propósito do ataque à Colonial Pipeline, nos Estados Unidos, a Check Point Research analisou a preparação do tecido empresarial de vários países face a possibilidade de sofrer um ataque semelhante, entre os quais Portugal. A atual crise pandémica obrigou as organizações a proceder a rápidas mudanças estruturais que, em muitas regiões, não foram devidamente acompanhadas por práticas de cibersegurança eficazes na proteção de dados e recursos sensíveis. Em 2020, o Centro Nacional de Cibersegurança em Portugal constatava que apenas 28% das organizações nacionais tinham políticas de cibersegurança definidas. Atualmente, o panorama de ciberameaças nacional pode ser descrito da seguinte forma:

• No início de abril de 2021, a percentagem de organizações portuguesas impactadas por um ataque de Ransomware suplantou ligeiramente a média global: 3% e 2%, respetivamente;
• Em Portugal, nove em cada dez ficheiros maliciosos chegam aos utilizadores via e-mail;
• No início de maio de 2021, as organizações portuguesas foram atacadas, em média, 926 vezes. A nível global para a mesma data, a média situa-se nos 750 ataques;
• A vulnerabilidade mais comummente explorada em Portugal é o Remote Code Execution, um tipo de ataque através do qual o hacker executa remotamente um código malicioso.