Ransomware REvil está pedindo US$ 5 milhões de resgate ao TJRS

Views: 463
0 0
Read Time:2 Minute, 8 Second

O ransomware que atacou o Tribunal de Justiça do Rio Grande do Sul teria sido o REvil, segundo fontes do CISO Advisor. Os cibercriminosos estariam pedindo o equivalente a US$ 5 milhões em criptomoedas para fornecer as chaves que podem decodificar o conteúdo criptografado em servidores e estações de trabalho. O ataque teria começado por volta das 11h da manhã do dia 28, quarta-feira. Funcionários que tentaram utilizar remotamente recursos na rede do tribunal descobriram que o conteúdo buscado não estava mais disponível – textos, imagens, modelos de documentos jurídicos, tudo havia sido criptografado. Eles passaram a ver uma tela azul com texto em inglês informando que deviam procurar uma nota de resgate no arquivo 34o0n-readme.txt: “All of your files are encrypted! Find 34o0n-readme.txt and follow instructions”.

O especialista Maurício Correa, do Xlabs, empresa de cibersegurança do Rio Grande do Sul, suspeita que o ataque possa ter sido feito por meio do comprometimento de servidores de VPN não atualizados, como já aconteceu em outros países: “Há relatos de ataques a essas VPNs, de modo que depois os criminosos têm acesso a servidores que não estão expostos à internet mas a uma VPN vulnerável, particularmente as não atualizadas da Citrix e da Fortinet”. Embora os fornecedores já tenham corrigido as vulnerabilidades, muitos clientes dessas e de outras VPNs, como Pulse por exemplo, deixaram de fazer atualizações e por isso elas permanecem vulneráveis aos ataques.

O REvil não é um ransomware operado por uma pessoa ou uma gangue. Na verdade ele é uma plataforma de ransomware cujo autor ou autores vendem o acesso a quem quiser. Ele já atacou empresas grandes. Na semana passada, por exemplo, atacou a Quanta Computer, um fornecedor terceirizado da Apple em Taiwan, que é na verdade uma das maiores fabricantes de laptops do mundo. Ela monta os produtos da Apple com base nos designs fornecidos pela empresa, o que significa que há uma base lógica para as reivindicações de roubo. Mas a Quanta tem parcerias com mais de uma dúzia de grandes empresas de tecnologia dos EUA, incluindo Dell, Hewlett-Packard, Blackberry e várias outras.

Assim, o REvil na verdade atrai afiliados para distribuir o ransomware. Como parte do acordo com esses afiliados, os desenvolvedores do ransomware dividem a receita obtida com o pagamento do resgate. É difícil, segundo os pesquisadores, apontar a localização exata dos desenvolvedores, mas acredita-se que eles estejam baseados na Rússia, devido ao fato de que o grupo não tem como alvo organizações russas ou aquelas em países do antigo bloco soviético.

FONTE: CISO ADVISOR

POSTS RELACIONADOS