Jump to content
  • Ataque ao STJ pode ter sido obra de grupo especializado


    Fernando Mercês

    O STJ, TJ-PE, dentre outros órgãos brasileiros foram atacados por um ransomware conhecido pelo nome RansomExx, antigamente conhecido por Defray777.

    O site O Bastidor conseguiu a ransom note que os atacantes deixaram nas máquinas afetadas:

    ransom_note_stj.thumb.jpg.034e31b4605cdfb28346a1238956bfa2.jpg

    Fonte: O Bastidor

    O ransomware RansomExx é normalmente operado pelo grupo criminoso conhecido pelo nome Gold Dupoint, ativo pelo menos desde Novembro de 2018, que já atacou o Departamento de Transporte do Texas (TxDOT) em maio deste ano, dentre outras vítimas.

    É TTP (Tatics, Procedure and Techniques) conhecido do Gold Dupoint o uso de loaders, pequenos softwares maliciosos com a missão de lançarem um malware no sistema afetado sem serem detectados, especialmente o Vatet Loader, o que bate com o hash apresentado no comunicado emitido pelo CAIS RNP:

    SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de

    O arquivo é detectado por 30 dos 72 engines de antivírus presentes no VirusTotal e vários o detectam como "Vatet", incluindo a Microsoft, que costumar ser bem assertiva em suas detecções:

    image.thumb.png.efd2ebe311ca767b33534deb72cd17ed.png

    Link: https://www.virustotal.com/gui/file/ea6c3b993d830319b08871945cf2726dd6d8e62e8fed8fc42bcb053c38c78748/detection

    Os órgãos competentes estão trabalhando arduamente para a mitigação do ataque. Até agora, vimos movimentos muito importantes que valem ser citados:

    • O alerta em PDF publicado pelo CAIS RNP.
    • Uma live do CAIS RNP que acontece hoje às 10h e às 14h (informações abaixo).
    • Todo o trabalho da PF e outras instituições na resposta ao incidente.

    Ao passo que também vimos movimentos questionáveis:

    • A tentativa de responsabilizar o técnico do firewall e/ou o home office pelo ataque.
    • O atual presidente ao dizer que já se sabe quem é o hacker.
    • Uma possível associação com o caso Mari Ferrer e hashtag #estuproculposo.
    • O total silêncio do CERT.br.

     

    Live do CAIS RNP

    (texto recebido via WhatsApp)

    Prezados,

    O CAIS alerta para um recente ataque massivo de ransomware a várias organizações públicas, que afetou sistemas Vmware e Windows, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores.

    Indícios preliminares apontam que usuários maliciosos exploraram vulnerabilidades conhecidas - e já com patches de correção disponíveis - em plataformas de virtualização e sistemas operacionais amplamente utilizadas no mercado, que permitiram a escalada de privilégios, execução de códigos e consequente infecção por ransomware nos servidores. Além das organizações públicas que sofreram impacto já noticiadas, há a possibilidade da ameaça se estender às organizações de ensino superior no Brasil.

    Por isso, em decorrência desses graves incidentes de segurança ocorridos hoje 05/11/2020, o CAIS - Centro de Atendimento a Incidentes de Segurança da RNP, recomenda a leitura e aplicação das orientações contidas no documento presente na url[1], produzido pelo SERPRO, o qual contém as ações de prevenção contra execução desses ataques em particular. Adicionalmente, o CAIS promoverá duas sessões conversas técnicas com os clientes da RNP, visando aprofundar detalhes técnicos e esclarecer quaisquer dúvidas que possam surgir quanto à exploração das vulnerabilidades identificadas, assim como às contramedidas propostas.

    Link público: https://video.rnp.br/portal/transmission.action?idItem=94137 (10h e 14h).

     

    Documentos

    Atualização em 9/Nov: Os alertas estão sendo atualizados exclusivamente pelo CTIR Gov nesta página. Desta forma, removi os documentos daqui, já que é preferível que o download seja feito da fonte.

     

    Análise do loader

    Atualização em 11/Nov: Fizemos uma análise técnica inicial do loader, o primeiro estágio do malware que comprometeu a infraestrutura do STJ:

     

     


    User Feedback

    Recommended Comments

    Excelente analise sobre o caso, parabéns.

    Achei muito radical as recomendações de prevenção, dessa forma quem for seguir vai trabalhar OffLine ou gerar incidentes no ambiente.
    Trabalhar com papel e caneta é outra forma de não pegar ramsomware....rs

    Recomendações para PREVENÇÃO dos Órgãos
    05/11/2020 – 16:25
    -Ambiente de INTERNET
    --3. Bloquear Regras de acesso ANY para HTTP e HTTPS para internet;

    Ambiente de INTRANET
    21. Cancelar, temporariamente os poderes dos Administradores do AD (Active Directory)

    Link to comment
    Share on other sites

    • Administrators
    6 horas atrás, Anchises disse:

    O pessoal do CTIR.GOV tem feito algumas atualizações nas recomendações de prevenção, e publicado regularmente no site deles em forma de "alerta": https://www.ctir.gov.br/alertas/

    Boa, Anchises! Atualizei para o pessoal baixar de lá. ?

    Em 06/11/2020 em 09:37, AndreX disse:

    chei muito radical as recomendações de prevenção, dessa forma quem for seguir vai trabalhar OffLine ou gerar incidentes no ambiente.

    De fato... ??‍♂️

    Link to comment
    Share on other sites



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...