Grupo de ransomware Rhysida reivindica ataques a governos em Portugal e República Dominicana

O grupo de ransomware Rhysida reivindicou ataques contra duas instituições governamentais, sendo que ambas afirmaram que os incidentes desencadearam vários problemas. Um dos ciberataques ocorreu no dia 27 de setembro em Portugal, na cidade de Gondomar, tendo obrigado as autoridades a desligar os sistemas e a contactar o Centro Nacional de Cibersegurança e a Comissão Nacional de Proteção de Dados.

O governo afirmou que alguns serviços municipais seriam interrompidos enquanto a situação era resolvida, tendo as autoridades esclarecido que todos os serviços online oferecidos pelo governo não ficaram operacionais durante uma semana. No entanto, foi possível para os residentes de Gondomar comparecer pessoalmente para recorrer a serviços como o pagamento de contas e a obtenção de licenças.

“Os equipamentos municipais permanecem abertos durante o horário normal de atendimento ao público. Poderão, no entanto, existir constrangimentos resultantes de problemas de acesso a sistemas informáticos”, afirmaram.

Os sistemas de email também não estavam funcionais, o que dificultou o contacto com os residentes locais, insistindo para os moradores visitarem as suas instalações pessoalmente caso necessitem de alguma coisa. O governo local não respondeu sobre quando os seus serviços voltariam ao normal ou se houve um furto dos dados dos residentes.

O grupo de ransomware Rhysida afirmou ser o autor do ciberataque, de acordo com o especialista em cibersegurança Dominic Alvieri. Os cibercriminosos partilharam amostras de passaportes e outros documentos financeiros alegadamente “roubados” do município no seu leak site.

Recentemente, o Rhysida, que surgiu pela primeira vez em maio de 2023, ganhou notoriedade nos Estados Unidos com o seu ataque à Prospect Medical Holdings, que opera 16 hospitais em vários estados e foi forçada a redirecionar ambulâncias como resultado do incidente. O grupo de cibercriminosos também já tinha atacado um hospital em Portugal. Porém, pouco se sabe sobre as operações dos atacantes.

O grupo de ransomware continua a visar governos por todo o mundo, encetando ataques ao Kuwait, ao Chile e à ilha caribenha da Martinica nos últimos meses. Para além do ataque a Gondomar, os cibercriminosos reivindicaram um outro ataque à Agência de Migração da República Dominicana, responsável por gerir o sistema de imigração do país.

A agência da República Dominicana confirmou o ataque num comunicado, onde revela que os cibercriminosos furtaram dados. “Estas situações, que aumentaram globalmente e estão a tornar-se mais frequentes nas instituições estatais e são levadas a cabo por grupos de cibercriminosos internacionais, levam-nos a trabalhar diligentemente com as autoridades para determinar a extensão da fuga e a assumir um compromisso firme de tomar medidas para mitigar o impacto e proteger a privacidade das pessoas afetadas”, disse um porta-voz da Direção Geral de Migração.

Segundo as autoridades, foram detetadas atividades anormais pela primeira vez no dia 14 de setembro, antes da notificação ao Centro Nacional de Cibersegurança do país. A violação de dados envolveu nomes, moradas e datas de nascimento. No entanto, a agência afirmou que os seus sistemas não foram criptografados durante o ataque.

“Desde a deteção, colaboramos com o Centro Nacional de Cibersegurança para implementar medidas de remediação, fortalecer os controlos e monitorizar possíveis atividades anómalas”, indicaram.

Os cibercriminosos do Rhysida publicaram organização no seu leak site e deram ao país sete dias para pagar o resgate, estando a vender as informações por 25 BTC, equivalente a cerca de 700 mil dólares.