Ataque ao STJ pode ter sido obra de grupo especializado

O STJ, TJ-PE, dentre outros órgãos brasileiros foram atacados por um ransomware conhecido pelo nome RansomExx, antigamente conhecido por Defray777.

O site O Bastidor conseguiu a ransom note que os atacantes deixaram nas máquinas afetadas:

Fonte: O Bastidor

O ransomware RansomExx é normalmente operado pelo grupo criminoso conhecido pelo nome Gold Dupoint, ativo pelo menos desde Novembro de 2018, que já atacou o Departamento de Transporte do Texas (TxDOT) em maio deste ano, dentre outras vítimas.

É TTP (Tatics, Procedure and Techniques) conhecido do Gold Dupoint o uso de loaders, pequenos softwares maliciosos com a missão de lançarem um malware no sistema afetado sem serem detectados, especialmente o Vatet Loader, o que bate com o hash apresentado no comunicado emitido pelo CAIS RNP:

SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de

O arquivo é detectado por 30 dos 72 engines de antivírus presentes no VirusTotal e vários o detectam como "Vatet", incluindo a Microsoft, que costumar ser bem assertiva em suas detecções:

Link: https://www.virustotal.com/gui/file/ea6c3b993d830319b08871945cf2726dd6d8e62e8fed8fc42bcb053c38c78748/detection

Os órgãos competentes estão trabalhando arduamente para a mitigação do ataque. Até agora, vimos movimentos muito importantes que valem ser citados:

• O alerta em PDF publicado pelo CAIS RNP.
• Uma live do CAIS RNP que acontece hoje às 10h e às 14h (informações abaixo).
• Todo o trabalho da PF e outras instituições na resposta ao incidente.

Ao passo que também vimos movimentos questionáveis:

• A tentativa de responsabilizar o técnico do firewall e/ou o home office pelo ataque.
• O atual presidente ao dizer que já se sabe quem é o hacker.
• Uma possível associação com o caso Mari Ferrer e hashtag #estuproculposo.
• O total silêncio do CERT.br.

Live do CAIS RNP

(texto recebido via WhatsApp)

Prezados,

O CAIS alerta para um recente ataque massivo de ransomware a várias organizações públicas, que afetou sistemas Vmware e Windows, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores.

Indícios preliminares apontam que usuários maliciosos exploraram vulnerabilidades conhecidas - e já com patches de correção disponíveis - em plataformas de virtualização e sistemas operacionais amplamente utilizadas no mercado, que permitiram a escalada de privilégios, execução de códigos e consequente infecção por ransomware nos servidores. Além das organizações públicas que sofreram impacto já noticiadas, há a possibilidade da ameaça se estender às organizações de ensino superior no Brasil.

Por isso, em decorrência desses graves incidentes de segurança ocorridos hoje 05/11/2020, o CAIS - Centro de Atendimento a Incidentes de Segurança da RNP, recomenda a leitura e aplicação das orientações contidas no documento presente na url[1], produzido pelo SERPRO, o qual contém as ações de prevenção contra execução desses ataques em particular. Adicionalmente, o CAIS promoverá duas sessões conversas técnicas com os clientes da RNP, visando aprofundar detalhes técnicos e esclarecer quaisquer dúvidas que possam surgir quanto à exploração das vulnerabilidades identificadas, assim como às contramedidas propostas.

Link público: https://video.rnp.br/portal/transmission.action?idItem=94137 (10h e 14h).

Documentos

Atualização em 9/Nov: Os alertas estão sendo atualizados exclusivamente pelo CTIR Gov nesta página. Desta forma, removi os documentos daqui, já que é preferível que o download seja feito da fonte.

Análise do loader

Atualização em 11/Nov: Fizemos uma análise técnica inicial do loader, o primeiro estágio do malware que comprometeu a infraestrutura do STJ: