Empresas e outras instituições em vários países, incluindo em Portugal, foram afectados por um vírus informático que inviabiliza a utilização de ficheiros e pede o pagamento de um valor para restabelecer o acesso. Em alguns casos, os computadores ficaram inoperacionais. Noutros, foram propositadamente desligados, para evitar mais danos.

A Polícia Judiciária, que está a investigar a situação, confirmou a existência de “ataques informáticos em larga escala em várias empresas portuguesas, sobretudo em operadores de comunicação”. Ao PÚBLICO, o director da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária, Carlos Cabreiro, explicou tratar-se de “uma campanha de distribuição de ransomware, que se caracteriza pela encriptação dos dados dos computadores com pedido de resgate para o seu desbloqueio”.

Os atacantes estão a pedir que sejam feitos pagamentos na divisa digital bitcoin, para que os ficheiros sejam desencriptados e possam voltar a ser usados. Entre outras características, as bitcoins são conhecidas por facilitarem o anonimato dos utilizadores e são frequentemente usadas para transacções ilegais. De acordo com imagens da mensagem de pedido de resgate que apareceram nos computadores e que circulam online, os atacantes exigem o equivalente a 300 dólares (275 euros) em bitcoins. A mensagem (que tem uma versão em português) ameaça que ao fim de três dias aquele valor será duplicado e que, ao fim de sete dias, os ficheiros serão destruídos.

São “várias” as empresas atingidas, diz Carlos Cabreiro. “Não podemos dizer se são dezenas ou centenas, são essencialmente operadores de comunicação”.

"Raptar" ficheiros A origem destes ataques é uma nova versão do software malicioso Wanna Decryptor (detectado pela primeira vez em Fevereiro deste ano), também conhecido como Wcry ou WannaCry. Trata-se de um ransomware (a palavra inglesa ransom significa "resgate"): não monitoriza os movimentos do computador infiltrado, nem permite que os atacantes acedam aos ficheiros, mas nega o acesso do utilizador à informação que estes contêm. Ou seja, encripta os ficheiros no computador e pede um resgate para “desbloquear” a informação. Pode afectar vários computadores ligados à mesma rede. O problema não é a remoção do vírus (prevenindo estragos futuros), mas sim a desencriptação dos ficheiros atacados. Nada garante que, pagando o resgate, a promessa de restabelecer o acesso seja cumprida. Os profissionais em tecnologia de informação dizem que ter cópias de segurança para ficheiros importantes é a melhor prevenção para estas situações. À semelhança de outros vírus, o Wanna Decryptor entra no sistema através de anexos e links distribuídos por email. Karla Pequenino

Os ataques afectam computadores com sistema operativo Windows, da Microsoft. De acordo com a empresa de segurança S21Sec (do grupo Sonae, dono do PÚBLICO), o software – que é distribuído por email e também se propaga de uns computadores para os outros – infecta e torna inacessíveis vários tipos de ficheiro muito usados, como é o caso dos ficheiros dos programas Word, Excel e PowerPoint, bem como formatos comuns de imagem (com extensões como png, gif e jpg), e ainda ficheiros de som e de vídeo, entre vários outros. Os países mais afectados são, de acordo com a empresa, Espanha, Rússia, Ucrânia e Taiwan. Também há ataques registados nos EUA, Reino Unido, China, Itália e Vietname, entre outros. Este tipo de ataques não é incomum e, noutros casos, houve empresas que optaram por pagar, para reaver o acesso aos ficheiros e evitar publicidade negativa.

Segundo o Guardian, os especialistas de segurança na Kasperksy Lab registou mais de 45 mil ataques em 74 países diferentes, incluindo a Rússia, Ucrânia, Índia, China, Egipto ou Espanha. O mesmo diário britânico diz ainda que o ataque desta sexta-feira terá sido causado por um grupo que utilizou uma “arma cibernética” utilizada pela Agência Nacional de Segurança norte-americana (NSA, na sigla em inglês).

Em Portugal, a PT confirmou ter sido vítima do ataque, embora garanta não terem sido afectados os serviços prestados aos clientes. "Na PT, todas as equipas técnicas estão a assumir as diligências necessárias para resolver a situação, tendo sido activados todos os planos de segurança desenhados para o efeito, em colaboração com as autoridades competentes. A rede e os serviços de comunicações fixo, móvel, Internet e TV prestados pelo MEO não foram afectados", informou a operadora. Já a Vodafone disse não ter sido alvo de qualquer intrusão, nem em Portugal, nem em Espanha. A Nos não respondeu às questões colocadas.

Por seu lado, houve empresas que agiram preventivamente. A EDP, por exemplo, após ter tido conhecimento do ataque, decidiu cortar os acessos à Internet na sua rede, mesmo não tendo registo de intrusões nos seus computadores.

O ataque foi particularmente problemático em Inglaterra, onde vários hospitais foram afectados, levando a que doentes tivessem de ser encaminhados de uns serviços para outros. O Serviço Nacional de Saúde britânico apelou a que os utentes não se dirigissem às ugências a não ser em casos de verdadeira necessidade.

Em Portugal, os sistemas informáticos das instituições de saúde públicas não registaram incidentes. Mas os Serviços Partilhados do Ministério da Saúde (SPMS), responsáveis pela gestão do sistema informático do Serviço Nacional de Saúde, decidiram suspender temporiamente a recepção de emails que não sejam provenientes do endereço do ministério, como medida de precaução. “Pode ser um pouco excessivo, mas preferimos pecar por excesso”, sublinhou ao PÚBLICO Henrique Martins, presidente dos SPMS.

Sem registo de qualquer problema até ao final da tarde desta sexta-feira, aqueles serviços estavam a trabalhar com a operadora que gere a rede informática da saúde, a Nos, para reforçar as medidas de segurança, acrescentou Henrique Martins. “Estamos a monitorizar a rede informática da saúde, que é privada, está fisicamente separada da Internet”, explicou, recordando que ainda recentemente foi feita uma campanha para alertar para o problema dos vírus que chegam através de emails.

O melhor do Público no email Subscreva gratuitamente as newsletters e receba o melhor da actualidade e os trabalhos mais profundos do Público. Subscrever ×

As primeiras notícias nas agências noticiosas internacionais deram conta de ataques à operadora de comunicações espanhola Telefónica. O software malicioso fez com que o ecrã dos computadores apresentasse mensagens de erro, não sendo possível ao utilizador realizar qualquer tarefa, e a empresa optou mesmo por enviar alguns funcionários para casa.

Pedro Barbosa, responsável de cibersegurança da Claranet em Portugal, uma multinacional de serviços de Internet, diz que o ataque foi detectado durante a madrugada. "Os alvos iniciais foram empresas de telecomunicações, tendo-se verificado depois o alastrar a outros sectores como a banca, energia, e outras infra-estruturas críticas", observou Barbosa. "Dos vectores de ataque utilizados, o principal baseou-se em emails com anexos que levam ao descarregamento de software malicioso. Trata-se da variante WCry 2.0, que terá sido disseminada de forma estratégica e massiva".

Foi ainda noticiado que o mesmo vírus teria afectado equipamentos informáticos de empresas como a consultora KPMG, os bancos espanhóis BBVA e Santander e a Iberdrola. Contudo, fonte do Santander disse não ter sido detectado qualquer problema nos sistemas do grupo, em Portugal ou em Espanha. A KPMG, por seu lado, enviou uma nota em que afirma "não ter sofrido qualquer ataque informático durante o dia de hoje". Com Ana Dias Cordeiro, Alexandra Campos, Renata Cunha e Rosa Soares