Ao que tudo indica, a ameaça no ataque hacker registrado ao Ministério da Saúde, onde “50 Terabytes” de dados teriam sido roubados é uma farsa. Não houve um ransomware, mas um direcionamento de DNS (Domain Name Service).
Quem descobriu isso foi o responsável pelo perfil brasileiro EterSec, do Anonymous. Em uma rede social, o perfil explicou o ocorrido. As informações são do site Olhar Digital.
Ministério da Saúde sofre com ataques hackers – Foto: ReproduçãoFaça como milhões de leitores informados: siga o ND Mais no Google. SeguirO ataque direcionado ao site do SUS não se trata de um ransomware, o fato que realmente aconteceu é que o site ocorreu um redirecionamento de DNS (que é como o seu serviço de internet resolve o caminho dos sites). Segue o fio: pic.twitter.com/BCyuLrdb2w
— EterSec#Anonymous (@EterSec_) December 10, 2021
A PF (Polícia Federal) confirmou as informações mais tarde.
A Polícia Federal foi acionada na manhã de hoje (10/12) para atender ocorrência de ataque cibernético aos sistemas do Ministério da Saúde e de modificação do conteúdo exibido em seu site (defacement).
— Polícia Federal (@policiafederal) December 10, 2021
Na tarde de sexta-feira (10) em entrevista coletiva, o Ministério da Saúde mencionou “incidente” e não “ramsomware”. O que ocorreu foi algo mais simples do que uma invasão de ramsomware. Alguém alterou dados na Amazon Web Services.
Entenda o caso
Segundo o que foi descoberto, o que houve foi um redirecionamento, onde o domínio saude.gov.br e os domínios de outros serviços do Ministério da Saúde, como conectesus.sauide.gov.br foram redirecionados para uma página de defacing, uma página que substitui a original pela mensagem do grupo hacker
O domínio do Ministério da Saúde sob o site geral do governo brasileiro, gov.br/saude, parece estar funcionando normalmente.
Como funciona:
Quando você digita qualquer endereço na internet, o seu computador procura em um servidor DNS (Domain Name Service), qual é o endereço real da internet (IP), a que esse domínio se refere.
De acordo com o Anonymous, o endereço IP ligado ao ministério da saúde está hospedado no Japão e lá estava armazenada a ameaça falsa de ransomware dizendo que baixaram 50 TB de dados do contribuinte.
A Polícia Federal havia dito que não houve vazamento de dados do Ministério, e confirmou a versão como farsa.
Anonymous desconfia do ataque ao Ministério
De acordo com o perfil EterSec#Anonymous: “De fato ocorreu um ataque, possivelmente facilitado por alguém que tenha conhecimento dentro do Ministério, pois o DNS não foi alterado desde 2020, o que leva a acreditar que alguém entrou na conta da AWS e alterou o servidor para este IP onde se encontra a deface”. “O grande erro foi ao afirmar ser um ransomware”.
“Grande parte do sistema segue on[line] através de outros IPS. Se você verificar a origem do deface não se encontra no host atual do SUS e sim em um serviço no Japão.”
Para provar seu ponto de vista, o Anonymous recuperou o endereço de um dos sistemas do Ministério da Saúde, o Sistema de Transplantes. Ele se mostra funcional, o que prova que o servidor continua no ar, apenas redirecionado.
Ataque improvável
Ainda de acordo com o Anonymous, um ataque ramsomware ao Ministério da Saúde conforme anunciado era improvável. “É impossível, são ações bem distintas, isso ocorreu porque no defacer dizia ser um ransomware e eles mesmos entraram em contradição ao afirmar possuir 50TB de dados, no qual seria tecnicamente impossível essa transferência dos servidores do SUS de alto tráfico em curto espaço de tempo.”
Além diss, uma outra prova da possível farsa, segundo o Anonymous, é que os invasores não deram um exemplo dos dados que obtiveram: “As informações divulgadas por eles certamente se tratam por Leaks antigas, visto que, normalmente quando ocorre algo do gênero, eles divulgam pequenas partes comprovando o sequestro de dados”, finalizou.