Sistema judicial brasileiro sob ataque maciço de ransomware RansomExx


O Superior Tribunal de Justiça do Brasil foi atingido por um ataque de ransomware na terça-feira durante sessões de julgamento que estavam ocorrendo por meio de videoconferência.

“O Superior Tribunal de Justiça (STJ) anuncia que a rede de informática do Tribunal sofreu um ataque de hackers na terça-feira (3), durante a tarde, quando ocorreram as seis sessões de julgamento das turmas coletivas”, disse o presidente do STJ, Humberto Martins, em nota. depoimento no site do Supremo Tribunal Federal.

“A Secretaria de Tecnologia da Informação e Comunicação (STI) está trabalhando na recuperação dos sistemas para restaurar todos os serviços judiciais o mais rápido possível.”

Jornalista brasileira Mateus Nunes disse ao BleepingComputer que os sites de várias outras agências do governo federal brasileiro também estão offline.

No entanto, ainda não se sabe se eles foram atacados pelos mesmos atores da ameaça ou se estão hospedados no mesmo site que os tribunais.

Sistemas offline dois dias depois

Os sistemas do Superior Tribunal de Justiça (STJ) foram desligados para impedir a propagação pela rede do tribunal, mas não antes de todos os arquivos e backups de processos serem criptografados, segundo especialistas de TI do STJ.

Dois dias após o ataque de ransomware, o site e os sistemas do Superior Tribunal de Justiça ainda estão offline até que todos os sistemas sejam totalmente restaurados.

“Foi explorada uma conta de Admin de Domínio que permitia ao hacker ter acesso aos nossos servidores, entrar em grupos de administração do ambiente virtual e, finalmente, criptografar boa parte de nossas máquinas virtuais”, disse um dos técnicos de informática a O Bastidor .

O STJ “entrará em funcionamento até a próxima segunda-feira, 9 de novembro”, e todas as sessões de julgamento, virtuais e / ou por videoconferência, serão suspensas ou canceladas até que a segurança da rede do tribunal seja restaurada.

O departamento de TI do tribunal também aconselhou todos os usuários, incluindo juízes, estagiários e trabalhadores terceirizados, a não usarem nenhum computador (incluindo os pessoais) se estivessem ou ainda estivessem conectados à rede do tribunal.

Se você tiver informações de primeira mão sobre este ou outros ataques cibernéticos não relatados, pode entrar em contato conosco confidencialmente no Signal em +16469613731 ou no Wire em @ lawrenceabrams-bc.

“De acordo com a resolução, os prazos administrativos, cíveis e processuais criminais estão suspensos de 3 a 9 de novembro (inclusive), voltando a fluir no dia 10”, afirmou um comunicado no site do tribunal.

“Para efeito de contagem do prazo em processo penal, o período de suspensão será considerado motivo de força maior, nos termos do disposto no n.º 4 do artigo 798.º do Código de Processo Penal (CPP). Ainda de acordo com a resolução, as medidas podem ser revistas a qualquer momento, dependendo do resultado dos esforços para normalizar os sistemas. “

RansomExx por trás do ataque

Embora as declarações oficiais do STJ não mencionem a gangue de ransomware responsável por esse ataque, uma nota de resgate recuperada de um dos computadores criptografados mostra que a gangue RansomExx estava por trás dele.

RansomExx enviou a BleepingComputer a seguinte mensagem quando contatado para obter mais detalhes sobre o ataque:

Hello,
Ignore this message if you aren't officially represent whole affected company.
Send us any encrypted file (not greater than 1MB) for test decryption.
Then we will send you detailed instructions.
This step is necessary because we don't share such information for anyone except authorized persons.
Speak english.

Segundo fonte anônima, os sistemas do Tribunal de Justiça do Estado de Pernambuco (TJPE) também foram atingidos pelo RansomExx em 27 de outubro, com seus arquivos criptografados na extensão .tjpe911.

RansomExx é uma versão de ransomware Defray777 rebatizada que se tornou muito mais ativa em junho de 2020 e conhecida por atacar organizações de alto perfil.

Nota de resgate STJ
Nota de resgate STJ

O Departamento de Transporte do Texas (TxDOT), Konica Minolta, IPG Photonics e Tyler Technologies estão entre as vítimas anteriores da gangue.

Durante seus ataques, os operadores da RansomExx comprometem as redes das vítimas e roubam documentos confidenciais não criptografados enquanto os espalham lateralmente para outros sistemas.

Depois que os operadores RansomExx comprometem com sucesso o controlador de domínio do Windows das vítimas, eles implantam as cargas úteis do ransomware em todos os dispositivos de rede disponíveis.

Esta é uma história em desenvolvimento …

H / T Altieres