O STJ, TJ-PE, dentre outros órgãos brasileiros foram atacados por um ransomware conhecido pelo nome RansomExx, antigamente conhecido por Defray777.
O site O Bastidor conseguiu a ransom note que os atacantes deixaram nas máquinas afetadas:
Fonte: O Bastidor
O ransomware RansomExx é normalmente operado pelo grupo criminoso conhecido pelo nome Gold Dupoint, ativo pelo menos desde Novembro de 2018, que já atacou o Departamento de Transporte do Texas (TxDOT) em maio deste ano, dentre outras vítimas.
É TTP (Tatics, Procedure and Techniques) conhecido do Gold Dupoint o uso de loaders, pequenos softwares maliciosos com a missão de lançarem um malware no sistema afetado sem serem detectados, especialmente o Vatet Loader, o que bate com o hash apresentado no comunicado emitido pelo CAIS RNP:
SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de
O arquivo é detectado por 30 dos 72 engines de antivírus presentes no VirusTotal e vários o detectam como "Vatet", incluindo a Microsoft, que costumar ser bem assertiva em suas detecções:
Os órgãos competentes estão trabalhando arduamente para a mitigação do ataque. Até agora, vimos movimentos muito importantes que valem ser citados:
- O alerta em PDF publicado pelo CAIS RNP.
- Uma live do CAIS RNP que acontece hoje às 10h e às 14h (informações abaixo).
- Todo o trabalho da PF e outras instituições na resposta ao incidente.
Ao passo que também vimos movimentos questionáveis:
- A tentativa de responsabilizar o técnico do firewall e/ou o home office pelo ataque.
- O atual presidente ao dizer que já se sabe quem é o hacker.
- Uma possível associação com o caso Mari Ferrer e hashtag #estuproculposo.
- O total silêncio do CERT.br.
Live do CAIS RNP
(texto recebido via WhatsApp)
Prezados,
O CAIS alerta para um recente ataque massivo de ransomware a várias organizações públicas, que afetou sistemas Vmware e Windows, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores.
Indícios preliminares apontam que usuários maliciosos exploraram vulnerabilidades conhecidas - e já com patches de correção disponíveis - em plataformas de virtualização e sistemas operacionais amplamente utilizadas no mercado, que permitiram a escalada de privilégios, execução de códigos e consequente infecção por ransomware nos servidores. Além das organizações públicas que sofreram impacto já noticiadas, há a possibilidade da ameaça se estender às organizações de ensino superior no Brasil.
Por isso, em decorrência desses graves incidentes de segurança ocorridos hoje 05/11/2020, o CAIS - Centro de Atendimento a Incidentes de Segurança da RNP, recomenda a leitura e aplicação das orientações contidas no documento presente na url[1], produzido pelo SERPRO, o qual contém as ações de prevenção contra execução desses ataques em particular. Adicionalmente, o CAIS promoverá duas sessões conversas técnicas com os clientes da RNP, visando aprofundar detalhes técnicos e esclarecer quaisquer dúvidas que possam surgir quanto à exploração das vulnerabilidades identificadas, assim como às contramedidas propostas.
Link público: https://video.rnp.br/portal/transmission.action?idItem=94137 (10h e 14h).
Documentos
Atualização em 9/Nov: Os alertas estão sendo atualizados exclusivamente pelo CTIR Gov nesta página. Desta forma, removi os documentos daqui, já que é preferível que o download seja feito da fonte.
Análise do loader
Atualização em 11/Nov: Fizemos uma análise técnica inicial do loader, o primeiro estágio do malware que comprometeu a infraestrutura do STJ:
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.