A Polícia Judiciária informou esta quinta-feira que participou numa operação internacional que desmantelou as infra-estuturas utilizadas pelo grupo HIVE para lançar ataques informáticos em todo mundo e é suspeito de ter atacado diversas entidades portuguesas a quem extorquiu ou tentou extorquir elevadas quantias. Entre as vítimas nacionais estão unidades hospitalares, empresas de análises laboratoriais, municípios, companhias de transporte, unidades hoteleiras e empresas tecnológicas.

Neste rol incluiu-se o ataque de que foi alvo o Hospital Garcia da Orta, em Almada, em Abril do ano passado, e a rede de laboratórios Germano de Sousa, em Fevereiro.

No caso do hospital o ataque obrigou à desmarcação de consultas e cirurgias, deixando a unidade de receber doentes transportados pelos serviços de emergência. Mais de 20 dias após o ataque, o Sindicato dos Médicos da Zona Sul queixava-se que os clínicos ainda não tinham acesso ao sistema informático, o que os impedia, por exemplo, de terem acesso aos processos clínicos dos doentes. A falta de acesso à Internet comprometia ainda a prescrição electrónica de medicamentos, a passagem de baixas médicas ou o pedido de exames de diagnóstico.

No caso dos laboratórios Germano de Sousa, o ataque ocorreu na madrugada de uma quinta-feira e na quarta-feira seguinte ainda havia serviços da rede fechados. Fora do rol de vítimas deste grupo está a empresa de telecomunicações Vodafone e o grupo Impresa, que detém a SIC e o Expresso, que foram alvo de outros cibercriminosos, esclareceu fonte da Judiciária.

O anúncio do desmantelamento foi feito por pompa e circunstância pelo procurador-geral dos Estados Unidos, Merrick Garland, país onde estavam alojados os servidores utilizados por este grupo. O Departamento de Justiça norte-americano e a Europol fizeram comunicados onde precisam que, desde Junho de 2021, mais de 1500 entidades em 80 países foram vítimas deste grupo e que ao todo foram pagos mais de 100 milhões de euros em resgates.

A Judiciária explica que o grupo recorria ao "método da dupla extorsão" já que antes de encriptar os dados, o grupo roubava informações sensíveis da rede da vítima. Depois exigia um resgate para que os dados fossem desencriptados e a informação roubada não fosse publicada no site do grupo, alojado na dark web. Fruto da acção das autoridades esta página passou a estar indisponível, aparecendo uma mensagem das várias polícias quando se tenta aceder ao endereço electrónico. Os logótipos do Departamento de Justiça norte-americano, da Europol e da polícia alemã aparecem em destaque, mas a bandeira de Portugal também aparece na imagem.

"O grupo responsável pelo ransomware HIVE era um dos grupos cibercriminosos mais relevantes a nível mundial", sublinha a PJ numa nota.

As investigações, que duraram vários meses, foram levadas a cabo por diversos parceiros internacionais, incluindo a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) da PJ, que acolheu uma das sessões de trabalho operacional que durou uma semana. Esta contou com a presença de mais de 30 polícias oriundos dos 13 países envolvidos na operação (Alemanha, Canadá, Espanha, Estados Unidos, França, Irlanda, Lituânia, Países Baixos, Noruega, Portugal, Reino Unido, Roménia e Suécia).

"A cooperação entre os diversos parceiros internacionais permitiu identificar a infra-estrutura tecnológica usada pelos membros deste grupo criminoso, bem como as chaves privadas usadas pelos mesmos para cifrar os dados das vítimas. Como resultado da operação, o grupo criminoso ficou privado dos meios para lançar ciberataques, muitas vezes capazes de paralisar totalmente as operações da vítima afectada e que causavam graves prejuízos económicos e de imagem às instituições visadas", lê-se no comunicado da PJ.

Na conferência de imprensa dada nos EUA, o director do FBI Christopher Wray, explicou que houve agentes infiltrados durante meses no grupo, o que permitiu aceder às chaves usadas para cada uma das vítimas e disponibilizá-las a 300 vítimas que estavam a ser alvo de um ataque, sem que para tal tivessem de efectuar o pagamento do resgate. Com esta acção, estima-se que cerca de 120 milhões de euros euros não tenham sido pagos em resgates, evitando-se que o grupo auferisse tal montante de forma ilegítima. O FBI também disponibilizou 1000 chaves de desencriptação a vítimas antigas do grupo.