right-4926156_1280.jpg

Ransomware REvil está pedindo US$ 5 milhões de resgate ao TJRS

O ataque teria começado por volta das 11h da manhã do dia 28, quarta-feira e se manifestado inicialmente nas estações de trabalho
Paulo Brito
30/04/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O ransomware que atacou o Tribunal de Justiça do Rio Grande do Sul teria sido o REvil, segundo fontes do CISO Advisor. Os cibercriminosos estariam pedindo o equivalente a US$ 5 milhões em criptomoedas para fornecer as chaves que podem decodificar o conteúdo criptografado em servidores e estações de trabalho. O ataque teria começado por volta das 11h da manhã do dia 28, quarta-feira. Funcionários que tentaram utilizar remotamente recursos na rede do tribunal descobriram que o conteúdo buscado não estava mais disponível – textos, imagens, modelos de documentos jurídicos, tudo havia sido criptografado. Eles passaram a ver uma tela azul com texto em inglês informando que deviam procurar uma nota de resgate no arquivo 34o0n-readme.txt: “All of your files are encrypted! Find 34o0n-readme.txt and follow instructions”.

O especialista Maurício Correa, do Xlabs, empresa de cibersegurança do Rio Grande do Sul, suspeita que o ataque possa ter sido feito por meio do comprometimento de servidores de VPN não atualizados, como já aconteceu em outros países: “Há relatos de ataques a essas VPNs, de modo que depois os criminosos têm acesso a servidores que não estão expostos à internet mas a uma VPN vulnerável, particularmente as não atualizadas da Citrix e da Fortinet”. Embora os fornecedores já tenham corrigido as vulnerabilidades, muitos clientes dessas e de outras VPNs, como Pulse por exemplo, deixaram de fazer atualizações e por isso elas permanecem vulneráveis aos ataques.

Veja isso
Análise do RansomEXX indica que atacante do STJ teve tempo
Alerta do FBI revela risco de roubo de dados em servidores do STF

O REvil não é um ransomware operado por uma pessoa ou uma gangue. Na verdade ele é uma plataforma de ransomware cujo autor ou autores vendem o acesso a quem quiser. Ele já atacou empresas grandes. Na semana passada, por exemplo, atacou a Quanta Computer, um fornecedor terceirizado da Apple em Taiwan, que é na verdade uma das maiores fabricantes de laptops do mundo. Ela monta os produtos da Apple com base nos designs fornecidos pela empresa, o que significa que há uma base lógica para as reivindicações de roubo. Mas a Quanta tem parcerias com mais de uma dúzia de grandes empresas de tecnologia dos EUA, incluindo Dell, Hewlett-Packard, Blackberry e várias outras.

Assim, o REvil na verdade atrai afiliados para distribuir o ransomware. Como parte do acordo com esses afiliados, os desenvolvedores do ransomware dividem a receita obtida com o pagamento do resgate. É difícil, segundo os pesquisadores, apontar a localização exata dos desenvolvedores, mas acredita-se que eles estejam baseados na Rússia, devido ao fato de que o grupo não tem como alvo organizações russas ou aquelas em países do antigo bloco soviético.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest