Foto: Pexels.

Os hackers que atacaram o Superior Tribunal de Justiça (STJ) na última terça-feira, 3, teriam criptografado mais de 1,2 mil máquinas virtuais, além de destruir seus backups, com um ransomware chamado RansomEXX.

Segundo o site o CISO Advisor, um dos indicadores de que seja esse o malware é a nota de resgate deixada em pelo menos um dos servidores. Ela está num arquivo de texto com o nome de “!NEWS_FOR_STJ!.txt”, que guarda semelhança com o nome de arquivo registrado por pesquisadores em outros incidentes.

O RansomEXX foi detectado pela primeira vez no primeiro semestre deste ano e já atingiu o Texas Department of Transportation (TxDOT), por exemplo. Ele seria um malware perigoso, que busca lucrar com empresas e usuários domésticos. 

De acordo com os especialistas do projeto 2SPYWARE, ele é usado com direcionamento para vítimas específicas, usando algoritmos de criptografia AES-256 e RSA-2048 para codificar arquivos. 

Assim que termina sua criptografia, ele grava um arquivo de texto com a mensagem para a vítima. O texto da nota de resgate, a extensão dos arquivos criptografados e o endereço de e-mail para comunicação são personalizados para cada ataque. 

No caso do STJ, a extensão utilizada teria sido “.stj888”. A nota deixada nos servidores não tem destinatário específico, já que poderia ser encontrada por qualquer pessoa. Ela diz que o usuário deve procurar alguém da área de TI para que tome conhecimento da mensagem.

“Verifique esta mensagem com atenção e entre em contato com alguém do departamento de TI. Seus arquivos estão totalmente criptografados. Corrigir os nomes ou conteúdos dos itens afetados (*.stj888) pode causar falha na restauração. Você pode nos enviar qualquer item afetado (menor do que 900KB) e nós vamos repará-lo. O item afetado não deve conter inteligência útil. O resto dos dados estará disponível após pagamento”, diz o texto.

Dirigida ao general manager (GM), ou gerente-geral, da instituição, a mensagem ainda fala para o leitor entrar em contato caso represente o Superior Tribunal de Justiça, indicando um endereço de e-mail e um endereço de mensagem direta no serviço Mastodon.

Segundo o site, provavelmente os hackers já haviam plantado o acesso previamente e teriam ficado passeando no ambiente até conseguir as credenciais para disparar o ataque.

“Foi um golpe pensado. Acredita-se que foi algo orquestrado e encomendado talvez até por alguma organização criminosa como PCC, Comando Vermelho ou Família do Norte, junto com quadrilhas internacionais que fazem ciberataques, e recebem por isso, e que podem ter utilizado servidores terceirizados”, afirmou um funcionário do STJ, em relato ao qual o CISO Advisor teve acesso.

No ataque, os invasores teriam criptografado o ambiente virtualizado com todas as informações da TI do STJ, salvo o processo judicial, que roda numa área chamada Justiça. Essa área fica separada do virtualizado. 

A equipe de TI do STJ teria feito algumas ações para minimizar o impacto, como uma varredura para ver se o atacante tinha algum agente já implantado no ambiente, mas não encontrou nada. 

Segundo o site Tele Síntese, uma fonte da PF informou que uma força-tarefa foi criada envolvendo a área de inteligência do Exército e o setor de governo digital do Ministério da Economia, além de representantes do Poder Judiciário.

“As diligências iniciais da investigação já foram adotadas, inclusive, com a participação de peritos da instituição. Eventuais fatos correlatos poderão ser apurados na mesma investigação, que está em andamento na Superintendência Regional da Polícia Federal no Distrito Federal”, informou a PF em comunicado.

Ainda segundo o site, autoridades do Executivo e do Judiciário já consideram o ataque como o mais grave já dirigido contra uma instituição pública do país, mas há consenso entre os membros do STJ em não pagar nenhum valor. 

De acordo com a Agência Brasil, o STJ confirmou a criptografia e bloqueio do acesso aos dados do tribunal, mas garantiu que as informações sobre os processos judiciais, contas de e-mail e contratos administrativos permanecem íntegras e estão preservadas em um backup. 

Humberto Martins, o presidente do tribunal, teria publicado em grupos de WhatsApp do órgão que estão sendo feitos todos os esforços técnicos para diagnosticar o ataque, sua extensão, sequelas a debelar e perspectivas de retomada à normalidade.

“Até que esse trabalho seja concluído, com rigorosa auditoria nos Sistemas, peço a todos que não liguem seus computadores/terminais, ainda que os pessoais, que estejam conectados com algum dos sistemas informatizados da nossa Corte, até ulterior aviso desta Presidência. Peço, igualmente, que recomendem aos seus respectivos servidores dos gabinetes que sigam esse mesmo padrão de conduta. Especialmente não utilizem a rede de e-mails do STJ”, dizia a mensagem, segundo o CISO Advisor.

De acordo com o Tele Síntese, os autores da invasão são apontados como responsáveis por ações semelhantes que tiraram do ar sites de outras organizações estatais, como o Ministério da Saúde e o Governo do Distrito Federal, na quinta-feira, 5.

O Ministério da Saúde afirmou que os serviços prestados à população não foram afetados. A causa do problema ainda não teria sido encontrada, mas a pasta descarta um ataque e diz que o “problema é interno”. 

Apenas parte do sistema da pasta estaria fora do ar e o DataSUS estaria “investigando e também trabalhando para restabelecer o sistema”. 

Já Secretaria de Economia do Distrito Federal (SEEC) identificou uma tentativa de ataque de hackers aos sistemas do Governo do DF. Segundo a pasta, os servidores ficaram indisponíveis e não há previsão de retorno, mas não houve sequestros de dados.

Por precaução, o Supremo Tribunal Federal (STF) e o Tribunal Superior Eleitoral (TSE) reforçaram medidas de seguranças em seus sistemas digitais de informação e comunicação.

RANSOMWARE EM ALTA

Ataques de ransomware estão em alta. De acordo com dados da Emisoft, uma companhia especializada no tema, em 2019 o número de ataques aumentou 41%.

A Emsisoft avaliou dados de de 948 ataques do tipo só nos Estados Unidos no ano passado, e constatou que eles causaram custos diretos de US$ 176 milhões em reconfiguração de redes, backups, medidas preventivas e, em alguns casos, pagamentos de resgates pelos dados.

O resgate nem sempre precisa ser uma fortuna. Dados da Coveware, outra empresa do segmento, apontam para uma média de US$ 190 mil em dezembro de 2019 (essa é média é mais do que o dobro do resto do ano, o que indica alguns grandes pagamentos sendo feitos).

Em 2020, os hackers se aproveitaram do fato de muitas empresas terem enviado seus funcionários para home office, onde a proteção é mais fraca, para incrementar os seus ataques, com efeitos ainda não medidos.

Não existem dados consolidados para o Brasil, mas casos de grande visibilidade tem acontecido de maneira recorrente. Recentemente, a Braskem, Natura e Light sofreram ataques do tipos, todos tendo como consequência a interrupção de sistemas. No caso da Light, o pedido de resgate foi de R$ 37 milhões.