Politécnico de Leiria entre as vítimas da operação de ransomware Akira
Um grupo a usar o golpe de ransomware Akira identificou o Instituto Politécnico de Leiria entre as vítimas numa nota na dark web, após um ataque informático no começo de Maio.
O Instituto Politécnico de Leiria (IPL) foi identificado como uma das mais recentes vítimas da operação de ransomware Akira, um ataque informático em que um programa malicioso barra o acesso aos ficheiros de um computador e exige um resgate para o desbloqueio. Um grupo na dark web associado à estirpe de ransomware Akira diz que terá obtido dados sensíveis da instituição de ensino na sequência de um ataque informático na madrugada de 2 de Maio que está a ser investigado pelo Centro Nacional de Cibersegurança (CNCS) e pela Polícia Judiciária (PJ).
Contactada pelo PÚBLICO, o CNCS confirma que o “Instituto Politécnico de Leiria foi vítima de um ataque de ransomware, variante Akira”, e que “decorrem neste momento trabalhos de recuperação, que se espera estarem terminados em breve”. Há uma investigação a decorrer em articulação com a PJ. Não foram adiantados mais detalhes.
A informação sobre o grupo associado à ransomware Akira foi inicialmente partilhada pela Falcon Feeds, uma plataforma que monitoriza conteúdo na dark web, um conjunto de redes encriptadas, infames por serem utilizadas por visitantes de mercados ilícitos online. Uma publicação da equipa do Falcon Feeds no Twitter, sobre dados do IPL na página da dark web da Akira, motivou preocupações junto dos alunos da instituição, que se queixam de falta de comunicação e temem que os seus dados pessoais tenham sido comprometidos.
O PÚBLICO não conseguiu falar directamente com o Instituto Politécnico de Leiria. Num comunicado partilhado com os alunos e com a comunicação social ao final da tarde desta sexta-feira, a instituição nota que “ainda não foram detectadas quaisquer evidências de que tenha sido roubada informação sensível quer ao nível da comunidade estudantil, quer no âmbito do funcionamento dos serviços da instituição" e que “até à data não foi formalizado qualquer pedido de resgate.”
Variante de ransomware
A Akira, cujo nome remete ao clássico filme de animação japonês de 1988, é uma adição recente ao mundo do ransomware que tem protagonizado ataques indiscriminados a empresas de consultoria, instituições financeiras, escolas e creches. A maioria das vítimas estão localizadas nos EUA e no Canadá. Na página da dark web, o grupo que diz estar por detrás da Akira descreve as acções como “auditorias sem marcação” que alertam empresas para vulnerabilidades nos seus serviços. “Há um preço justo para que tudo desapareça”, lê-se. Na actualização sobre os dados do IPL, os criminosos notam que irão partilhar os dados assim que tiverem a certeza “que a organização já não quer saber deles.”
“No que diz respeito à veracidade [das alegações], muitas vezes [os criminosos] fazem bluff,”, explica ao PÚBLICO Nandakishore Harikumar, presidente executivo da Technisanct, a empresa de cibersegurança por detrás da plataforma Falcon Feeds.
Segundo a Technisanct, a estratégia do grupo a reinvindicar os ataques passa por divulgar publicamente a identidade das vítimas, criando pressão pública para que paguem os resgates.“Durante anos, a dark web foi considerada um espaço inacessível, mas desde que a penetração da Internet aumentou, até as crianças em idade escolar têm acesso à dark web”, nota Harikumar. No caso do IP de Leiria, ainda não existem dados do ciberataque a circular na página dos supostos atacantes.
“Teremos de esperar alguns dias para ver se são publicadas amostras”, nota o líder da Technisanct. “[Muitas vezes] a publicação de dados não traz nada [aos criminosos] para além de popularidade. Eu diria que 60% continuam a fazer afirmações que não são apoiadas por amostras ou provas.”
Apesar de a nova variante partilhar o nome com outra estirpe de ransomware, activa em 2017, vários grupos de cibersegurança online notam que não há semelhanças entre o código informático. A versão mais recente da Akira depende da obtenção de credenciais de administrador do domínio de Windows dos alvos. Estes dados são frequentemente obtidos através de estratégias de phishing, uma táctica de engenharia social em que os atacantes usam emails falsos (por exemplo, em nome de um banco ou rede social) para convencer alguém a fornecer dados pessoais.
A partir daqui, os dados são encriptados e os criminosos pedem o resgate pelo desbloqueio. “Nunca recomendamos o pagamento de ransomware. Boas práticas de cibersegurança são a melhor forma de combater este tipo de situações”, salienta Harikumar da Technisanct.
Editado: O CNCS nota que o IPL foi vítima de um ataque de ransomware, variante Akira. Não é dada informação sobre conteúdo na dark web. Informação puxada para o segundo parágrafo.