O cibercriminoso que atacou com o RansomEXX a rede do Superior Tribunal de Justiça na tarde do dia 3 de novembro de 2020 já não pode mais ser localizado por e-mail: a conta que ele mantinha no Proton Mail para contato com o STJ foi removida e apontada como “abuse” segundo o relatório que os especialistas Gustavo Palazolo, Felipe Duarte e Ialle Teixeira publicaram hoje sobre o RansomEXX.
Aparentemente, segundo Ialle, ele teve tempo suficiente para analisar a rede do órgão, descobrir como movimentar-se “lateralmente” dentro dela, dominar os acessos e conseguir as permissões necessárias, para só então lançar o ransomware e criptografar os arquivos em todas as máquinas físicas e virtuais.
O relatório, intitulado “RansomEXX — Análise do Ransomware Utilizado no Ataque ao STJ”, mostra um malware que “não possui técnicas anti-análise e nem ofuscação no código ou nas strings (…) O principal objetivo do malware é somente a criptografia dos arquivos, o que é uma operação incomum se compararmos com as famílias de ransomware mais recentes, onde há comunicação com C2 e funcionalidades adicionais”.
Veja isso
STJ foi pego pelo RansomEXX. Alvo pode ter sido escolhido
STJ: mais de 1.200 servidores congelados, backups destruídos
O ransomware que atacou o STJ é muito parecido com o que atacou o Departamento de Transporte do Texas (TxDOT), e ambos “pertencem a uma família de ransomware conhecida por RansomEXX, ou Defray777. Ao longo do ano de 2020, este ransomware ficou conhecido devido a grandes ataques”, diz o documento.
O estudo foi feito sobre a versão para Linux, e segundo Teixeira ela não contém nenhuma função para varredura ou obtenção de credenciais da rede. Ele acredita que o atacante “deve ter feito isso via script ou linha de comando”. O documento mostra que “este ransomware faz a utilização de múltiplas threads para acelerar o processo de criptografia. Enquanto uma thread gera a chave, a outra é responsável por encriptar os arquivos”. Com isso, o malware gera uma chave aleatória de 256-bits a cada 0,18 segundos, afirmam os autores. Eles gravaram um vídeo demonstrando como ocorre o processo.
O relatório pode ser obtido no endereço [ tinyurl.com/y2o8veds ]
