Topo

RansomExx: vírus que atingiu STJ também atacou TJ-PE e outros países

iStock
Imagem: iStock

Lucas Carvalho

De Tilt, em São Paulo

07/11/2020 10h01

O ransomware —programa malicioso que sequestra dados e exige resgate para devolvê-los— que atacou o Superior Tribunal de Justiça (STJ) nesta semana é um velho conhecido dos especialistas em cibersegurança. Trata-se do RansomExx, um vírus que já atacou governos e empresas de outros países e pode ter feito outra vítima recente no Brasil: o Tribunal de Justiça de Pernambuco (TJ-PE).

A denúncia foi feita pelo site especializado em cibersegurança Bleeping Computer. Um suposto bilhete deixado pelos hackers que invadiram o STJ (e que também foi reportado pelo site brasileiro O Bastidor) é a principal pista. O bilhete é quase igual ao encontrado em outros sistemas afetados pelo RansomExx, também chamado de Ransom X ou Defray777. O mesmo vírus atingiu o Departamento de Transporte do Texas (TxDOT), nos Estados Unidos, em maio deste ano.

Em setembro, a empresa norte-americana IPG Photonics, que desenvolve aplicações de lasers e tem contratos com o exército dos Estados Unidos, viu seu sistema fora do ar após ter sido atingida pelo mesmo ataque de ransomware. Ainda em setembro, foi a vez da Tyler Technologies, uma das maiores empresas de software para o setor público dos EUA, ver arquivos criptografados graças ao vírus. Neste caso, a companhia decidiu pagar o resgate para reaver os dados sequestrados.

O site Bleeping Computer também diz que o sistema do TJ-PE foi alvo do programa malicioso. Procurado por Tilt, o tribunal confirmou que "teve sua rede atacada por vírus do tipo ransomware" no dia 26 de outubro. O TJ-PE, porém, não diz se o vírus em questão é o RansomExx que supostamente atacou o STJ. "A equipe técnica atuou no sentido de restaurar os serviços computacionais afetados com brevidade", diz o tribunal pernambucano em nota.

A assessoria de imprensa do STJ não confirmou a autenticidade do bilhete divulgado pela imprensa ou o nome do vírus, mas confirmou que o sistema da corte foi mesmo alvo de um ataque que criptografou dados. O ataque não atingiu a cópia de segurança (backup) dos arquivos, preservando os processos bloqueados, disse o órgão.

Como medida de precaução, o acesso do tribunal à internet foi derrubado, "o que implicou no cancelamento das sessões de julgamento e impossibilitou o funcionamento dos sistemas de informática e de telefonia da Corte". Desde então, a equipe de tecnologia do STJ vem trabalhando para recuperar os arquivos criptografados, incluindo a ajuda do Centro de Defesa Cibernética do Exército Brasileiro, da Microsoft e de outras empresas que prestam serviços de tecnologia para a corte.

Como funciona o RansomExx

Segundo especialistas em segurança consultados por Tilt, o RansomExx é um vírus conhecido por mirar organizações estatais.

Uma vez instalado no computador da vítima, ele se espalha pelo sistema até chegar ao domínio que controla toda a rede conectada. Quando chega lá, ele rouba os arquivos do sistema e depois criptografa-os usando algoritmos do tipo AES-256 e RSA-2048, pedindo resgate em dinheiro.

Como todo ransomware, é quase impossível quebrar a criptografia para recuperar os arquivos sequestrados: demanda muito mais tempo do que reinstalar as cópias de segurança (backup) e mais dinheiro do que pagar o resgate.

Os criminosos se valem da expectativa de que as vítimas não tenham um backup de segurança recente ou ameaçam vazar os dados sequestrados se o resgate não for pago.

PF na causa

A Polícia Federal abriu inquérito para apurar o ataque hacker ao STJ. Segundo o presidente Jair Bolsonaro (sem partido), mais de 12 mil arquivos da corte foram roubados, mas os investigadores já teriam encontrado os responsáveis.

Na última quinta-feira (5), o Ministério da Saúde também teve instabilidades em seus sistemas internos, mas não confirmou relação com o ataque ao STJ, assim como o governo do Distrito Federal, que também tirou sites do ar após uma tentativa de invasão.

O Supremo Tribunal Federal (STF) e o Tribunal Superior Eleitoral (TSE) informaram que reforçaram seus sistemas internos de segurança da informação após o ataque hacker.

A previsão do STJ é de que os trabalhos voltem ao normal na próxima terça-feira (10).

Em regime de plantão, o tribunal só está atendendo urgências, como:

  • Pedidos de habeas corpus;
  • Mandados de segurança;
  • Suspensão de execução de liminar;
  • Comunicação de prisão em flagrante;
  • Decretação de prisão preventiva para casos que tenham origem na instância superior.