Os estragos causados pelo ataque com ransomware ao Superior Tribunal de Justiça (STJ) ainda não são totalmente conhecidos. A Polícia Federal assumiu a investigação do caso, não só para compreender a extensão dos danos, como para averiguar o acesso aos arquivos, que pode incluir até mesmo uma cópia indevida dos dados.
Segundo comunicado do STJ, aos poucos os sistemas começam a ser retomados após o ataque. A retomada começou na terça-feira (10), com a retomada de algumas das funcionalidades mais acessadas do portal. As centrais telefônicas voltaram a operar parcialmente na quarta-feira (11) e em sua totalidade na quinta (12). Agora, o Tribunal também informa que a restauração dos sistemas de informática já está praticamente finalizada.
O STJ diz que há ainda dois pontos a serem resolvidos. Um deles é o Sistema Integração, que deve ser restabelecido durante o fim de semana. Além disso, até segunda-feira (16), a Secretaria de Tecnologia da Informação e Comunicação deve finalizar a disponibilização dos drivers.
Para evitar novos ataques, o tribunal também impôs novas medidas de segurança. Como informa o site Convergência Digital, uma das mais importantes é impedir que os funcionários conectem equipamentos pessoais, com menção direta a notebooks, à rede do STJ, para garantir que novas ameaças trazidas de fora não afetem os sistemas internos.
Copiar dados é o modus operandi do malware
Apesar de a investigação do ataque correr em sigilo, algumas coisas são conhecidas. O site Bleeping Computer percebeu que o bilhete de resgate encontrado em inglês pelos técnicos nos computadores do STJ é compatível com o RansomExx, um ransomware que viabiliza esse tipo de ataque.
No caso do ataque ao STJ, os arquivos foram cifrados com a extensão “.stj888”, o que parece ser um padrão de ataque. O site aponta que o Tribunal de Justiça de Pernambuco (TJ-PE) também foi afetado pela ameaça no fim de outubro, e os dados foram criptografados com a extensão “.tjpe911”. É uma marca da ameaça o uso de bilhetes de resgate direcionados, utilizando o nome da organização atingida.
O malware já atingiu múltiplos alvos fora do Brasil, como ressalta a publicação. Um dos ataques notáveis atingiu o Departamento de Transportes do Texas (TxDOT), nos Estados Unidos. Na ocasião, os arquivos foram cifrados com a extensão “.txd0t”. O ransomware não mira apenas órgãos governamentais, afetando também várias empresas, como Konica Minolta, IPG Photonics, and Tyler Technologies.
O RansomExx é uma nova versão de um ransomware conhecido como Defray777. A nova variação começou a circular mais ativamente desde junho. Durante esse período, ele já mostrou um modo de atuação claro: a ameaça se instala na rede da vítima e começa a roubar documentos sensíveis enquanto se espalha pelas máquinas. Em posse dos arquivos relevantes, o malware se manifesta e começa a cifrar os dados nos computadores afetados.