Um ataque de piratas informáticos congelou uma multinacional durante vários meses. A empresa rejeitou pagar resgates, decidiu reconstruir os seus sistemas sem atalhos e veio a público contar o que aconteceu. Esta é a sua história.
Um ataque de hackers que custou 70 milhões de dólares (62 milhões de euros) a uma multinacional, congelou a sua operação durante vários meses, afetando 30 mil trabalhadores e centenas de fábricas em dezenas de países.
A Norsk Hydro é uma empresa sediada na Noruega produtora de energia renovável e especialista na extração e produção de alumínio para diversos fins, incluindo para o fabrico de iPhones e de Teslas. A empresa está presente em 40 países, incluindo em Avintes, Vila Nova de Gaia, onde tem uma fábrica com 178 trabalhadores. Em 2020, gerou receitas de cerca de 14 mil milhões de euros.
Este caso tem sido apontando como um bom exemplo de como uma empresa deve lidar com um ataque por piratas informáticos. O tema volta a ser relevante depois de os sites do Expresso e da SIC foram atacados por hackers no fim de semana passado. O ataque foi reivindicado pelo grupo brasileiro Lapsus$, formado recentemente e que já atacou no Brasil a Polícia Rodoviária Federal (PRF), assim como o ministério da Saúde.
Em março de 2019, a Norsk Hydro foi alvo de um ciberataque perpetrado por hackers. Na altura, a companhia norueguesa tomou duas decisões que tornaram o seu caso mediático: primeiro, decidiu não pagar nenhum resgate aos hackers; depois, decidiu falar publicamente sobre o caso, servindo de exemplo para outras empresas que sejam alvo de ataques.
“Imaginem estarem numa reunião e de repente recebem uma mensagem a informar-vos que milhares de computadores da vossa empresa estão bloqueados, a mostrar no ecrã uma nota de resgate a pedir dinheiro para os reativar. E isto aumenta às centenas a cada minuto que passa. Ao mesmo tempo, o anti vírus não deteta nada. Estávamos a ser atacado, mas estávamos às escuras”, começou por dizer em novembro de 2019 o então responsável pelo departamento informático da empresa.
“O que fizemos? Na primeira hora, decidimos começar por controlar os danos. Desligámos toda a empresa: todas as redes, as vendas, computadores, emails, calendários, 35 mil pessoas, 200 fábricas, tudo desligado”, recordou Jo De Vliegher na Web Summit desse ano em Lisboa.
Tudo começou vários meses antes a milhares de quilómetros de Oslo. A 5 de dezembro de 2018, um trabalhador da empresa em Itália está a falar com um cliente habitual para fechar uma venda.
No entanto, o sistema do email do cliente tinha sido hackeado: os piratas informáticos travaram por momentos a ordem de encomenda, infetaram-na com um vírus e depois voltaram a libertar o email. “Para o nosso cliente, era um email normal, vindo de um contato regular, uma encomenda normal, mas foi o suficiente para acederem ao sistema com um vírus indetetável”.
“Depois foi interessante, os hackers fizeram o mesmo na Holanda, Brasil e na Eslováquia. Durante seis a oito semanas trabalharam muito tranquilamente: eles não entraram de repente, mas foram abrindo vários buracos na muralha exterior. Se fossem detetados num local, teriam mais 10 locais para entrar”, revelou o responsável ao público da Web Summit.
“Três semanas antes do ataque, as coisas começaram a mexer-se, e passou a ser o que chamamos uma ameaça persistente avançada. Este é um software indetetável, não existe nenhuma pasta, vive algures na memória, impossível de remover. E então começa a atacar os computadores”, contou.
“O próprio vírus nao existia até umas horas antes do ataque. Duas horas antes do ataque, montaram o vírus e espalharam-no por todo o sistema: 22 mil computadores mais os servidores. Fizeram reset a todas as passwords dos administradores, o nosso pessoal não conseguia aceder ao sistema, não o podia travar, a única coisa que podíamos fazer era desligar tudo. Estávamos sob ataque, mas sem saber de quem, nem porquê, sem saber as motivações”.
Um dos conselhos que deu à audiência foi que as empresas não devem tomar atitudes precipitadas, podendo piorar a situação. “Na altura, uma das teorias mais interessantes que ouvi foi que em alguns casos os hackers veem um mar de documentos, mas não sabem o valor das coisas. Então lançam um vírus para verem a tua reação: o que é que a empresa vai tentar proteger primeiro? É assim que as empresas entregam as joias da coroa numa bandeja de prata aos hackers”.
E destacou que um dos problemas do ataque foi que a empresa não conseguia pagar os salários aos seus próprios trabalhadores. “As coisas evoluem muito rapidamente: dois dias depois do ataque tínhamos de pagar a cinco mil pessoas no Brasil. Mas não conseguimos pagar, todos os bancos rejeitavam qualquer comunicação eletrónica connosco. Estamos a falar de cinco mil pessoas com rendas para pagar, com crianças, com comida para comprar”.
Outro exemplo dado foi a necessidade de pagar aos fornecedores. “Uma semana depois da crise, o departamento financeiro vem ter comigo e diz: temos agora 20 mil encomendas por pagar e esta a crescer ao ritmo de seis mil por dia. Precisámos de esperar dois meses e meio para os sistemas regressarem”.
O nome do vírus era LockerGoga, uma espécie de ransomware. Os hackers exigiam um pagamento em bitcoins: “O preço final depende da rapidez com que nos contactarem”, recordou a Microsoft, que foi contactada pela empresa para ajudar no combate aos piratas informáticos. A tecnológica enviou especialistas para Oslo e para a Hungria para assistirem a Norsk Hydro nas suas instalações. O Lockergoga também atacou outras empresas: a francesa Altran e duas empresas norte-americanas, a Hexion e Momentive.
O gestor belga destacou que o problema é se os piratas permanecem dentro do sistema, pois assim qualquer tentativa de recuperação fica sem efeito. “O vírus é inconveniente, mas não é o problema, pois montamos o sistema após umas horas. O problema é a invasão: assim que entraram, tudo ficou comprometido. Pagar um resgate não ajuda, eles ainda estão lá dentro e continuamos à mercê deles. Tivemos de nos livrar da intrusão, não podíamos confinar em nenhum sistema. Tivemos de construir um sistema totalmente novo, tipo forte Knox, à prova de bala, e transferir pessoa por pessoa, computador por computador. Isto é um trabalho duro”.
Jo De Vliegher recordou que a empresa decidiu abordar todos os problemas a partir de três premissas. “Primeiro, o que é que aconteceu? Foi aqui que entrou a ciência forense. Em segundo, o que vamos fazer hoje? Não se preocupem com o que os hackers fizeram, nem com os próximos dias. Há fornecedores à beira da bancarrota, como é que podemos pagar já aos mais aflitos? Em terceiro, como é que vamos recomeçar de novo?”.
O responsável apontou que depois de um ataque o maior risco é o de um segundo ataque nas semanas seguintes: “Um dos maiores desafios e o risco de um segundo ataque. Não pagámos resgate, recusámos. E era claro que eles gastaram muita energia connosco e depois não viram nem um cêntimo. Então o risco de um contra ataque crescia todos os dias. Ao mesmo tempo, os custos cresciam muito. Investimos muito todos os dias para tentar recuperar. Se tivéssemos sido atacados de novo ao fim de quatro semanas, o que é que dizíamos ao mercado? Ninguém confiaria em nos. A confiança é muito importante depois de uma cibercrise”.
E explicou que a empresa tinha ” bons planos de resposta a um ataque mas estavam todos num computador”, o que “não ajuda numa cibercrise”. “Não conseguíamos aceder aos números de telefone dos diretores, por exemplo”, apontando que a empresa depois criou equipas de emergência no Facebook, para os trabalhadores da empresa poderem contactar uns com os outros em caso de novo ataque.
“O pior de uma cibercrise não é o primeiro ou o segundo dia, é o dia 30 porque é uma maratona. Após um mês de todos a trabalharem 24 horas, sete dias por semana, pensamos que já estamos a ver a luz ao fundo do túnel, mas é a luz de um comboio que avança sem parar. Tudo fica pior antes de ficar melhor”, afirmou o gestor belga.
“Por fim, segurança primeiro. Quanto mais tempo levamos a recuperar a segurança, melhor. Não podem haver atalhos. Os atalhos podem provocar uma retaliação o que nos pode atirar de novo para a estaca zero”, acrescentou.
“O mundo digital é uma roleta russa. Estão preparados para viver sem computadores e sem redes durante três meses? É duro, muito duro. Preparem-se para o pior. Metade de vocês serão hackeados. Se os hackers quiserem entrar, vão entrar”, rematou.
A Agência de Cibersegurança norte-americana (CISA) aconselha precisamente as empresas a não pagarem resgates a hackers. “Pagar resgates não oferece garantias que a vítima venha a ter acesso de novo aos seus dados. Mais, o ransomware é uma economia criminosa que é alimentada pelo pagamento de resgates. Enquanto as vitimas continuarem a pagar resgates, podemos esperar que estes grupos criminosos continuem a ter incentivos para manter os ataques”, disse à revista “Time” o responsável da CISA, Eric Goldstein.
