Sistema judicial do Brasil sob ataque maciço de ransomware RansomExx

Views: 167
0 0
Read Time:3 Minute, 26 Second

O Superior Tribunal de Justiça do Brasil foi atingido por um ataque de ransomware na terça-feira durante sessões de julgamento que estavam ocorrendo durante a videoconferência.

“O Superior Tribunal de Justiça (STJ) informa que a rede de tecnologia da informação do tribunal sofreu um ataque hacker na terça-feira (3), durante a tarde, quando ocorreram as seis sessões de julgamento das seis turmas do grupo”, disse o presidente do STJ, Humberto Martins, em nota oficial no site do Supremo Tribunal Federal.

“A Secretaria de Tecnologia da Informação e Comunicação (IST) está trabalhando na recuperação de sistemas para restaurar todos os serviços judiciais o mais rápido possível.”

O jornalista brasileiro Mateus Nunes disse à BleepingComputer que os sites de várias outras agências do governo federal brasileiro também estão offline.

No entanto, ainda não se sabe se eles foram atacados pelos mesmos atores de ameaça ou se estão hospedados no mesmo local que os tribunais.

Sistemas offline dois dias depois

Os sistemas do Superior Tribunal de Justiça (STJ) foram desligados para impedir a disseminação pela rede do tribunal, mas não antes de todos os processos e backups serem criptografados de acordo com especialistas em TI do STJ.

Dois dias após o ataque ao ransomware, o site e os sistemas do Superior Tribunal de Justiça ainda estão offline até que todos os sistemas sejam totalmente restaurados.

“Uma conta do Administrador de Domínios foi explorada, o que permitiu ao hacker ter acesso aos nossos servidores, entrar em grupos de administração do ambiente virtual e, finalmente, criptografar boa parte de nossas máquinas virtuais”, como disse um dos técnicos de TI ao O Bastidor.

O STJ “funcionará em serviço até a próxima segunda-feira”, 9 de novembro, e todas as sessões de julgamento, virtuais e/ou por videoconferência serão suspensas ou canceladas até que a segurança da rede judicial seja restaurada.

O departamento de TI do tribunal também aconselhou todos os usuários, incluindo juízes, estagiários e trabalhadores terceirizados a não usarem computadores (pessoais incluídos) se eles estavam ou ainda estão conectados à rede do tribunal.

“De acordo com a resolução, os prazos processuais administrativos, cíveis e criminais estão suspensos de 3 a 9 de novembro (inclusive), retornando ao fluxo no dia 10”, diznota no site do tribunal.

“Para a contagem do prazo no processo penal, o período de suspensão será considerado motivo de força maior, de acordo com o disposto no parágrafo 4º do artigo 798 do Código de Processo Penal (CPP). Ainda de acordo com a resolução, as medidas podem ser revistas a qualquer momento, dependendo do resultado dos esforços para normalizar os sistemas.”

RansomExx por trás do ataque

Embora as declarações oficiais do STJ não mencionem a gangue de ransomware responsável por este ataque, uma nota de resgate recuperada de um dos computadores criptografados mostra que a gangue RansomExx estava por trás disso.

A RansomExx enviou ao BleepingComputer a seguinte mensagem quando contatado para obter mais detalhes sobre o ataque:

Hello,
Ignore this message if you aren't officially represent whole affected company.
Send us any encrypted file (not greater than 1MB) for test decryption.
Then we will send you detailed instructions.
This step is necessary because we don't share such information for anyone except authorized persons.
Speak english.

Segundo uma fonte anônima, os sistemas do Tribunal de Justiça do Estado de Pernambuco (TJPE) também foram atingidos pelo RansomExx no dia 27 de outubro, com seus arquivos sendo criptografados usando a extensão .tjpe911.

RansomExx é uma versão rebatizada de ransomware Defray777 que se tornou muito mais ativa durante junho de 2020 e conhecida por atacar organizações de alto perfil.

STJ ransom note

Departamento de Transportes do Texas (TxDOT), Konica Minolta, IPG PhotonicsTyler Technologies estão entre as vítimas anteriores da gangue.

Durante seus ataques, os operadores da RansomExx comprometem as redes das vítimas e roubam documentos confidenciais não criptografados enquanto se espalham lateralmente para outros sistemas.

Uma vez que os operadores do RansomExx comprometam com sucesso o controlador de domínio windows das vítimas, eles implantam as cargas de ransomware em todos os dispositivos de rede disponíveis.

FONTE: BLEEPING COMPUTER

Previous post Santander deve devolver dinheiro roubado em PC com malware
Next post Criptografia Transparente Thales para ambientes críticos

Deixe um comentário