Era um grupo cibercriminoso bastante ‘multifacetado’ aquele que a Polícia Judiciária acaba de desmantelar em Portugal. Atuava em atividades que iam da compra de credenciais na deepweb e do acesso indevido às plataformas online oficiais do Ministério da Saúde e da Segurança Social, às tentativas de burla digital, emissão de falsas receitas médicas e produção de drogas recreativas, mas mortais.
A Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) anunciou a detenção de três suspeitos, estando em causa alegadas práticas de crimes tipificados como acesso ilegítimo agravado, falsidade informática agravada, acesso indevido agravado, dano relativo a programas ou outros dados informáticos, falsificação de documento e burla qualificada.
Segundo a PJ, o grupo diversificou bastante a atividade criminosa, chegando mesmo a disseminar conhecidas campanhas de SPAM associadas a algumas das maiores empresas presentes em Portugal.
Aquisição de credenciais na deepweb permitiu acessos
O comunicado da PJ explica que uma das atividades do grupo cibercriminoso começou com a aquisição de credenciais de médicos e de funcionários públicos na deepweb, ‘onde são disponibilizados data leaks e informação recolhida em sistemas comprometidos’.
Segundo a PJ, a informação era obtida por ação de Infostealers, ou seja, ‘malware desenhado para extrair passwords e informação sensível em computadores infetados’.
A partir dessas credenciais, o grupo ganhou acesso à plataforma online da Segurança Social Direta, bem como a vários sites integrados na plataforma dos Serviços Partilhados do Ministério da Saúde (SPMS).
Alguns dos acessos ilegítimos foram feitos ao portal do Sistema Nacional de Vigilância Epidemiológica (SINAVE), da Requisição de Vinhetas e Receitas (PRVR) ou da Prescrição Eletrónica de Medicamentos (PEM).
O grupo encontrou ainda tempo para disseminar campanhas de SPAM através de milhares de SMS para destinatários indiscriminados, solicitando a liquidação de valores em falta à EDP Comercial, CTT, Endesa e Galp, entre outras empresas.
A Polícia Judiciária indica que esta prática lesou ‘um número indeterminado de vítimas em dezenas de milhares de euros’.
Das receitas médicas às novas drogas
A utilização das credenciais na plataforma da Segurança Social permitiu aos cibercriminosos ‘ganhar acesso a informação de pessoas individuais e coletivas’, cujos dados eram depois partilhados ‘em fonte aberta ou vendidos a terceiros.’
Já o acesso ilegítimo às plataformas online ligadas à Saúde permitiu aos cibercriminosos emitir certificados de óbito e mais de 350 prescrições médicas de ansiolíticos, antidepressivos e opioides.
Segundo a PJ, ‘as receitas seriam distribuídas entre membros do grupo que se encarregavam de proceder à sua dispensa em farmácias e utilizá-las na preparação de uma droga recreativa conhecida como Lean ou Purple Drank’.
Neste contexto, o comunicado alerta para a elevada toxicidade desta substância, que ‘causa dependência e é suscetível de conduzir a overdoses e à morte do consumidor’.