Read, hack, repeat

STJ é vítima de ransomware e tem seus dados e os backups criptografados

Guilherme Petry

O Superior Tribunal de Justiça (STJ) foi vítima de um ataque de ransomware na última terça-feira (03). Em nota publicada um dia após o incidente, o ministro e presidente do órgão, Humberto Martins, informou que todos os julgamentos (com exceção dos processos urgentes que serão julgados pela presidência do STJ) foram suspensos por uma semana. Todos os ministros, servidores e funcionários do STJ foram recomendados a não acessar os computadores ligados à rede do tribunal.

O portal Bleeping Computer informou que o suposto ransomware é provavelmente um RansomEXX, que apareceu na tela dos pesquisadores de cibersegurança pela primeira vez em 2017 e que é muito semelhante ao Defray777. A semelhança está no arquivo de texto "!NEWS_FOR_STJ!.txt" deixado nas máquinas criptografadas.

O documento contém as recomendações, em inglês, de como entrar em contato e realizar o pagamento. O estranho é que não foi informado no documento o valor para o resgate dos arquivos criptografados, como normalmente é feito em ataques desse tipo.

Mensagem deixada nas máquinas infectadas. Fonte: Reprodução/ O Bastidor.

Já de acordo com o CISO Advisor, foram mais de 1.200 servidores infectados que estão com seus dados comprometidos. Os backups também foram comprometidos no ataque. Resta saber porque o STJ mantinha os backups na mesma rede que operava normalmente.

“Ordenou-se que fossem derrubados os links de acesso à internet do STJ e o bloqueio de todas as contas de usuário que haviam acessado a rede nas últimas 24 horas… Todas as sessões de julgamento, virtuais e/ou por videoconferência, estão suspensas ou canceladas até restabelecida a segurança do tráfego de dados nos nossos sistemas”, informou o ministro em nota.

A The Hack entrou em contato com Fernando Amatte, pesquisador de cibersegurança da Cipher, que informou que após incidentes desse tipo, é necessário identificar as vulnerabilidades exploradas pelos cibercriminosos; isolar por completo o ambiente afetado e reinstalar ou atualizar os patches e serviços de segurança digital. Esses passos devem ser tomados para garantir que a vulnerabilidade foi corrigida e com isso, retomar a operação normal com segurança.

De acordo com o executivo, esse incidente poderia ter sido evitado com o “mapeamento eficiente dos ativos, patches, vulnerabilidades e riscos” presentes nos sistemas do tribunal. Além disso, “testes periódicos, equipe especializada em segurança, cuidado especial com sistemas legados e principalmente manter os sistemas atualizados” é indispensável para evitar problemas como esse.

Além do STJ, o Ministério da Saúde também perdeu acesso aos seus sistemas de comunicação no mesmo dia, informa o jornal Correio Braziliense. A Secretaria de Economia do Distrito Federal também informou em sua rede social que identificou uma tentativa de invasão à rede GDFNet que pertence ao Governo do Distrito Federal. Desesperados, sem saber o que fazer, decidiram o extremo: remover seus servidores do ar por precaução e falta de ferramentas de como se proteger.

Protesto ou conspiração?

O site O Bastidor apareceu na quinta-feira (05) cobrindo o caso de forma repentina, publicando que dois ministros do STF estão apreensivos com a situação e disseram que Martins “não está se comportando com a transparência esperada em um caso tão grave”.

Também foi publicado que os responsáveis pelos crime teriam deixado uma hashtag “estupro culposo” no sistema do tribunal em referência ao caso que envolve André de Camargo Aranha e Mariana Ferrer. Além de publicar que o Conselho Nacional de Justiça (CNJ), o Governo de Brasília e o serviço de dados do Sistema Único de Saúde (DataSUS) também teriam sofrido ataques semelhantes ainda hoje.

Mas é importante lembrar que o site O Bastidor possui somente um mês de idade, sendo registrado em abril, mas publicado só em outubro deste ano.

Embora a equipe de segurança e tecnologia do STJ esteja correndo contra o tempo para solucionar o problema dos arquivos criptografados (que atingiu um número alto de sistemas estatais e pode ter influenciado na queda de diversos sites do governo) e com a Polícia Federal apurando o caso, o presidente Jair Bolsonaro (sem partido) afirmou em live que o responsável pelo ataque já foi identificado.


Fontes: Bleeping Computer; CISO Advisor; Correio Brasiliense; O Bastidor.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.