RansomEXX foi o malware que o hacker usou para sequestrar os dados do sistema do Superior Tribunal de Justiça (STJ), do tipo ransomware, de acordo com um dos técnicos da corte.
Em uma das mensagens trocadas entre os técnicos do STJ, há informações sobre o ataque, como publicou o site ‘O Antagonista’.
“Basicamente foi um ataque do tipo ransomware. Uma conta Domain Admin foi explorada o que permitiu que o hacker tivesse acesso aos nossos servidores, se inserisse em grupos de administração do ambiente virtual e, por fim, criptografasse boa parte das nossas máquinas virtuais”.
O técnico faz uma observação para que o STJ insista em políticas de trocas de senha frequentemente, duplo fator de autenticação, “especialmente para contas com privilégio de administração do ambiente e soluções de gestão de credenciais.”
Essa mensagem foi enviada logo após o ataque. Entretanto, depois, houve a confirmação de que a invasão foi maior, pois o ataque criptografou todo o sistema.
Em seguida, como informamos aqui nessa matéria, o hacker(s) pediu dinheiro para devolver as informações, como costuma acontecer em ataques ransomware.
Ransomware
Ransomware é a junção das palavras ‘ransom’ – que significa o dinheiro utilizado para pagar um resgate de sequestro – com ‘malware’, que é o nome dado aos softwares maliciosos.
Portanto, Ransomware é a prática de crime cibernético que cobra determinado valor pela devolução dos dados sequestrados.
:upscale:():format:(png)/@/static/wp/2020/07/06/50.png?fit=scale "RansomEXX: ransomware responsável pelo ataque ao STJ 1")
Cada hacker, ou grupo, faz esses ataques utilizando ransomwares diferentes, existem milhares deles por aí.
O STJ não mencionou em nenhum comunicado quem foi o autor dos ataques ao sistema do tribunal, mas o site americano BleepingComputer descobriu que a gangue RansomEXX que fez a ação.
O site contactou a gangue, que respondeu pedindo para que ignorasse a mensagem caso não representasse oficialmente a companhia afetada.
O malware RansomEXX ataca as redes das vítimas e roubar documentos importantes, enquanto espalha o ransomware para outros sistemas.
O RansomEXX, após capturar todo controle do sistema das vítimas, envia payloads do ransomware para todos os dispositivos disponíveis na rede atingida.
RansomEXX e o STJ
O RansomEXX surgiu em maio deste ano e é uma adaptação do Defray777, que é de 2017 e atacava, geralmente, áreas da saúde e educação.
Assim como o Defray, o RansomExx é um Trojan (cavalo-de-troia) que se espalha através de documentos anexados em e-mails.
O RansomEXX criptografa os arquivos e deixa textos pedindo pagamentos, mas não possui outras funcionalidades comuns na maioria dos cavalos de troia, como botnets.
Cada amostra do RansomEXX contém o nome da organização ‘vítima’ codificado. Além disso, tanto o arquivo criptografado quanto o endereço de e-mail para contato usam o nome da vítima.
No caso do Superior Tribunal de Justiça, o arquivo se chama “!NEWS_FOR_STJ!” e o e-mail “s1t2j3@protonmail.com”.
O ataque ao STJ conseguiu criptografar mais de 1.200 servidores do tribunal, segundo relato em áudio de um funcionário da área de TI da corte, obtido pelo CISO Advisor.
Esse funcionário afirmou que o ataque, além de afetar 1.200 máquinas “também destruiu o backup dessas máquinas. Então foi um prejuízo pesado, muito grande”.
Além disso, o funcionário afirma que o autor “provavelmente, já tinha acesso ao ambiente”, o que atesta que o ataque foi feito via RansomEXX.
“Plantou o acesso e ficou passeando no ambiente até conseguir as credenciais que precisava para disparar o ataque”.
