O que se sabe do ataque à SIC pelo Lapsus$ ?

O grupo Impresa, ao qual pertence o Expresso e a SIC, foi vítima de um ciberataque no domingo – “um atentado nunca visto à liberdade de imprensa em Portugal na era digital”, anunciaram. Na altura, o grupo adiantou que estava a tomar medidas para resolver o incidente junto da Polícia Judiciária e do Centro Nacional de Cibersegurança e que iria apresentar uma queixa-crime.

Contrariamente ao que foi massivamente noticiado, com a propagação da ideia de se tratar de um ransomware, a Impresa anunciou ao fim de dia de quarta-feira que não se tratava, na realidade, de um ataque da variante. Mas, quatro dias após o ataque que colocou em baixo o site do Expresso, da SIC, da Opto, do Olhares, da Blitz, mas também de órgãos exteriores ao grupo, o que se sabe?

A autoria foi reivindicada pelo Lapsus$ Group, que, não só enviou ao início da noite de domingo um email aos subscritores das newsletters do Expresso, como deixou uma mensagem visível nos sites visados, pedindo um alegado resgate. A mensagem foi posteriormente substituída por uma nota de indisponibilidade. 

Os sites ficaram em baixo durante três dias, mas o do Expresso e da SIC já voltaram ao ativo em formato provisório - "agora, e enquanto fazemos todos os esforços para recuperar o que é nosso (o que é seu), decidimos criar um site temporário, este que está a abrir agora, que nos permitirá levar-vos outra vez as nossas notícias – aquelas que temos vindo a publicar apenas nas redes sociais do Expresso".

Na nota, o Expresso dirigiu-se aos assinantes com “um pedido de desculpas e de compreensão: estamos a fazer tudo o que podemos para entregar novamente os nossos exclusivos, assim como para garantir a entrega nas bancas da próxima edição semanal do Expresso" e "uma segunda palavra, não só aos assinantes, mas a todos os utilizadores do Expresso: estamos, de forma permanente e incessante, a colaborar com as autoridades e a desenvolver as ações necessárias no sentido de resolver a situação tão rápido quanto possível".

Além do site do Expresso, da SIC e SIC Notícias, da revista cultural Blitz, da plataforma de streaming da SIC, Opto, e da página de fotografia Olhares, também o site do jornal ribatejano O Mirante ficou em baixo no seguimento do ataque. Apesar de não pertencer à Impresa, o site está alojado nos servidores do grupo desde 2016.

É de notar que “o resgate por si só não define um ransomware”, refere Luís Lobo e Silva, Managing Partner da Focus2Comply, e, de facto, apesar da página inicial do Lapsus$ apresentar alguns contornos de um típico ataque ransomware, o ataque à Impresa não foi, efetivamente, da variante ransomware. 

Segundo Marc Rivero, analista da equipa de Análise e Investigação Global da GReAT da Kaspersky, “este grupo é novo e iniciou a sua atividade por volta do início de dezembro. O grupo parece usar técnicas de hacking para comprometer as suas vítimas, mas não conseguimos assegurar que tenham executado algum ransomware no servidor do cliente. Deixar notas e comentários nos sites, como os grupos de ransomware estão a fazer, pode ser apenas uma questão de chamar à atenção”.

Durante a noite de quarta-feira, os subscritores receberam um email de esclarecimento, também disponível no site do Expresso, que dava conta de que o ataque não se trata, de facto, de ransomware. “Este ataque não foi da tipologia ransomware, não tendo sido efetuado qualquer pedido de pagamento (“resgate”). Tratou-se, na verdade, de uma ação de destruição e sabotagem massiva e gratuita de informação, infraestrutura e sistemas do Grupo Impresa”, afirmam no comunicado. 

"Tanto quanto foi possível saber, um grupo de atacantes realizou uma intrusão na rede interna e, utilizando credenciais válidas, obtidas de forma criminosa, tomaram controlo da conta cloud (AWS) do grupo Impresa e outros serviços", explicam no comunicado, posteriormente atualizado.

O email enviado pelos criminosos aos leitores já indicava que teria havido uma violação de dados, o que foi confirmado na nota de esclarecimento enviada aos subscritores: “alguns dados pessoais foram acedidos pelos atacantes. Concretamente, os dados de identificação e contacto associados ao login, como o seu nome, email e contacto telefónico”.

Mais, esclarecem que os dados pessoais não foram destruídos ou apagados das bases de dados do grupo Impresa e que “o procedimento criminal já se encontra a correr e o incidente em apreço já é do conhecimento da Comissão Nacional de Proteção de Dados”. Para reparar a violação de dados, o grupo Impresa afirma que “foi, entre outras coisas, efetuada a recuperação de cópias de segurança, bem como a realização de análises de vulnerabilidades”. 

A Impresa já tinha afirmado que estava ativamente a trabalhar para ultrapassar o ataque junto de entidades como a Polícia Judiciária e o CNCS, agora, acrescente que “envidou todos os esforços para a neutralização do ataque informático, tendo criado uma task force para gestão do mesmo, e acionado todas as medidas técnicas e procedimentos legais aplicáveis”. 

Recomendam que, caso recebam comunicações maliciosas com os contornos das anteriormente enviadas pelo Lapsus$, as apaguem e não carreguem em hiperligações. Referem, ainda, que não têm evidências de que os atacantes tiveram acesso a palavras-passe (recomendando, contudo, a atualização das mesmas) ou informações como dados bancários (associados às subscrições).

“Todos os dias em Portugal, e não só, acontecem situações destas, e muitas vezes não sabemos se com resgate ou sem resgate pago, porque não são informações publicas até por uma questão reputacional e as entidades conseguem abafar esse tipo de situações”, afirma Luís Lobo e Silva, acrescentando que “há aqui um conjunto de lições que devem ser tomadas para o futuro e não só para o grupo Impresa, como outras entidades, pela expressividade que têm e pelo que representam em matéria de soberania no que diz respeito à informação”. 

Ainda é cedo para fazer um "x-ray" deste ataque, que será feito na proxima edição da IT Security de fevereiro, mas muitas perguntas e contradições na comunicação do grupo Impresa, naturalmente, ainda estão por responder:

- Não foi pedido um resgate? O grupo Lapsus$ já é conhecido exatamente pelo contrário - pela extorção.

- Qual o motivo porque negaram, num primeiro momento, a fuga de dados pessoais quando tudo provava o contrário e só comunicaram com a CNPD já fora das 72 horas?

- Como os criminosos tiveram acesso à consola de gestão da AWS? 

- Como se perdeu o histórico digital? O acervo digital de um orgão de comunicação social como o Expresso ou a SIC é um legado de décadas que não dispensaria um arquivo totalmente offline fisicamente bem guardado;

- Como é que o grupo Impresa não tinha salvaguardado a parte aplicacional? Os sites provisórios revelam que não há backup fora da área de controlo da cloud.

São algumas perguntas que tentaremos responder mais tarde, numa radiografia de um ataque de desfecho muito triste para o património de conhecimento e informação em Portugal.

Notícia atualizada no dia 12 janeiro às 12:57h