[vc_row css_animation=”” row_type=”row” use_row_as_full_screen_section=”no” type=”full_width” angled_section=”no” text_align=”left” background_image_as_pattern=”without_pattern”][vc_column][vc_column_text]

Análise do RansomEXX indica que atacante do STJ teve tempo

Da Redação
15/11/2020

O cibercriminoso que atacou com o RansomEXX a rede do Superior Tribunal de Justiça na tarde do dia 3 de novembro de 2020 já não pode mais ser localizado por e-mail: a conta que ele mantinha no Proton Mail para contato com o STJ foi removida e apontada como “abuse” segundo o relatório que os especialistas Gustavo Palazolo, Felipe Duarte e Ialle Teixeira publicaram hoje sobre o RansomEXX.

Aparentemente, segundo Ialle, ele teve tempo suficiente para analisar a rede do órgão, descobrir como movimentar-se “lateralmente” dentro dela, dominar os acessos e conseguir as permissões necessárias, para só então lançar o ransomware e criptografar os arquivos em todas as máquinas físicas e virtuais.

O relatório, intitulado “RansomEXX — Análise do Ransomware Utilizado no Ataque ao STJ”, mostra um malware que “não possui técnicas anti-análise e nem ofuscação no código ou nas strings (…) O principal objetivo do malware é somente a criptografia dos arquivos, o que é uma operação incomum se compararmos com as famílias de ransomware mais recentes, onde há comunicação com C2 e funcionalidades adicionais”.

O ransomware que atacou o STJ é muito parecido com o que atacou o Departamento de Transporte do Texas (TxDOT), e ambos “pertencem a uma família de ransomware conhecida por RansomEXX, ou Defray777. Ao longo do ano de 2020, este ransomware ficou conhecido devido a grandes ataques”, diz o documento.

O estudo foi feito sobre a versão para Linux, e segundo Teixeira ela não contém nenhuma função para varredura ou obtenção de credenciais da rede. Ele acredita que o atacante “deve ter feito isso via script ou linha de comando”. O documento mostra que “este ransomware faz a utilização de múltiplas threads para acelerar o processo de criptografia. Enquanto uma thread gera a chave, a outra é responsável por encriptar os arquivos”. Com isso, o malware gera uma chave aleatória de 256-bits a cada 0,18 segundos, afirmam os autores. Eles gravaram um vídeo demonstrando como ocorre o processo.

 

O tempo de breakout, a média de uma hora e 58 minutos que um intruso leva para pular da máquina inicialmente comprometida e mover-se lateralmente pela rede, está surgindo como uma janela crítica para impedir uma violação. No entanto, não é a única métrica crucial que você precisa saber. Quando um ataque está em andamento, você tem em média um minuto para detectá-lo, 10 minutos para compreendê-lo e uma hora para contê-lo. A sua organização está pronta para enfrentar o desafio de 1/10/60 minutos?

 

[/vc_column_text][/vc_column][/vc_row]