A semana do ransomware, a escalada de ataques e o TJ-RS

A semana do ransomware, a escalada de ataques e o TJ-RS. Nesta semana (26 abr a 1 mai), várias organizações foram vítimas de ataques, ao redor do mundo, incluindo o Tribunal de Justiça do Rio Grande do Sul (TJ-RS), o Departamento de Polícia de Washington D.C., nos EUA, a operadora ferroviária Merseyrail, no Reino Unido, e o Whistler Resort Municipality, em British Columbia, no Canada. O que será que está acontecendo?

O ransomware REvil tem chamado a atenção dos brasileiros, após o incidente de segurança da informação envolvendo o TJ-RS. Se você não sabe o que é ransomware, leia esta matéria. Mas, antes de nos debruçarmos sobre o ocorrido no Tribunal, em breve, precisamos entender o que está acontecendo numa escala global.

Ao que tudo indica, cibercriminosos experientes têm se unido para obter vantagens financeiras através de suas habilidades, a fim de aumentarem o lastro das infecções, ao redor do mundo. É aí que entra em ação ransomwares de alto nível, com é o caso do REvil. Num geral, estes cibercriminosos têm se concentrado em empresas. Seus talentos têm sido anunciados em mercados clandestinos, como a Deep Web, também conhecida como Dark Web, ou por meio de comunicações seguras (criptografadas), onde buscam adeptos.

Pesquisa realizada pela empresa Advanced Intelligence, LLC aponta uma tendência de formação de cartéis, no ecossistema subterrâneo da internet, que revela a conexão entre dois grupos com papéis bem definidos em suas operações cibercriminosas:

1. O primeiro grupo com vasta expertise em invasão de redes corporativas, invadem e posteriormente alugam ou vendem o acesso ao segundo grupo, descrito abaixo;
2. O segundo grupo com vasta expertise na disseminação de ransomwares: de posse do acesso facilitado às redes corporativas, implantam os ransomwares e pedem resgate às organizações.

Essa cooperação mutuamente benéfica permite a disseminação de malwares de criptografia de arquivos, mesmo em redes mais seguras. Uma vez que os cibercriminosos logrem êxito, no acesso a uma rede corporativa, eles podem comprometer:

• Servidores SMTP: acesso utilizado para enviar infecções através de spams;
• Domain Controllers: utilizados para bloquear toda a rede;
• E-mails corporativos: utilizados para acesso a dados sigilosos de uma organização; e
• Servidores FTP: utilizados para redirecionar o tráfego infeccioso.

Algumas técnicas e procedimentos utilizados pelos cibercriminosos, incluem o uso do Metasploit e da plataforma de pentesting Cobalt Strike. Em maio do ano passado, integrantes do grupo por trás do malware REvil ameçou divulgar dados sobre o então presidente dos EUA, Donald Trump, se eles não fossem remunerados com a incrível cifra de 42 milhões de dólares. Com isso, eles foram elevados de grupo de hackers a organização terrorista, pelo FBI.

Sobre o ataque ao Tribunal de Justiça do Rio Grande do Sul (TJ-RS)

Agora que já temos um melhor entendimento do que está por trás do ataque ao TJ-RS, vamos nos aprofundar no que houve por lá. E, cabe lembrarmos que o site deste mesmo Tribunal foi atacado em novembro do ano passado, contudo na época, os sistemas de informática não chegaram a ser comprometidos.

Nos últimos dias, inúmeros meios de comunicação começaram a compartilhar matérias sobre um ataque cibernético sofrido pelo TJ-RS. Ao que tudo indica o ataque começou na madrugada de quarta-feira (28 abr), e segundo o próprio Tribunal, 70% dos sistemas de informática ficaram comprometidos. Sistemas como o eThemis, de processo eletrônico, e mesmo o de telefonia ficaram fora do ar.

O TJ-RS tem cerca de 3,5 milhões de processos em andamento. E, mais da metade são eletrônicos. O presidente do Conselho de Comunição do TJ-RS, o Desembargador Antonio da Silveira confirmou o ataque cibernético através do uso de ransomware. Os técnicos do TJ-RS, na fase um dos trabalhos, criaram um cinturão de segurança que consistiu em bloquear todos os acessos com o objetivo de mitigar riscos. Sendo assim, o acesso remoto foi imediatamente suspenso.

O maior desafio nesse tipo de ataque é a chave para descriptograr os dados. Normalmente, um pedido de resgate dos dados é feito em criptomoedas. Ao contrário do que tem sido propagado, de que houve pedido de resgate do sistema, no valor de 5 milhões de dólares, não é o que oficialmente dizem as autoridades. Mensagens automáticas do ransomware REvil sinalizaram a cobrança de criptomoedas como forma de resgate do sistema, segundo a Polícia Civil e o próprio TJ-RS, contudo não foi feito um pedido formal para recuperação das redes.

Setenta e cinco por cento dos doze mil funcionários do TJ-RS estão trabalhando de casa, e muitos estão usando seus computadores pessoais para acesso remoto. Uma das hipóteses é que a ameaça tenha sido instalada, a partir de um desses computadores que não tinha níveis de segurança adequados.

Segundo reportagem do Jornal do Almoço, da Rede Globo, dados pessoais dos funcionários do Tribunal, como por exemplo, declarações do Imposto de Renda, também foram criptografados. O ataque impactou significativamente as atividades do TJ-RS, já que desembargadores, juízes e policiais estão fazendo uso de seus e-mails pessoais e aplicativos de mensagem de celular para conseguirem trabalhar, como por exemplo, em um pedido de medida protetiva pela Lei Maria da Penha. No início da noite desta quinta, apenas o sistema Eproc, para consulta de processos, estava funcionando pela rede externa do tribunal.

Na última sexta-feira, policiais da Delegacia de Repressão aos Crimes Informáticos, do Rio Grande do Sul foram à sede do TJ-RS para prosseguirem com a investigação a cerca dos ataques. O delegado André Anicet, a frente das investigações também considera como uma das linhas de investigação vulnerabilidade do computador de algum usuário.

“Em razão do trabalho remoto, algum servidor ou alguém conectado na rede pode ter tido seu computador infectado. Diante do login que a pessoa tem para o acesso à rede, facilitou a entrada do criminoso na rede do Tribunal de Justiça”

Boas práticas apontadas nas normas técnicas

Nas empresas nas quais se permite o uso de dispositivos móveis pessoais, convém que a política de segurança da informação e privacidade considere a separação do uso do dispositivo para negócio e para fins pessoais, incluindo os softwares para apoiar esta separação e proteger os dados do negócio em um dispositivo privado. Também é importante considerar possíveis ameaças de acessos não autorizados à informação ou aos recursos de processamento da informação, como por exemplo, por outras pessoas que utilizam o local, como familiares e amigos.

Relacionados a tudo o que foi exposto, podemos apontar algumas boas práticas a serem consideradas, a fim de mitigar as chances de uma organização passar por isso, com destaque para os seguintes temas.

Dispositivos móveis e trabalho remoto: Convém que a organização assegure que o uso de dispositivos móveis não conduza a um comprometimento de DP. Além de quando se utilizam dispositivos móveis, cuidados especiais sejam tomados para assegurar que as informações do negócio não sejam comprometidas. É importante que a política para uso de dispositivos móveis considere:

1. registros dos dispositivos móveis;
2. requisitos para a proteção física;
3. restrições quanto à instalação de software;
4. requisitos para as versões dos softwares e aplicações de patches;
5. restrições para conexão aos serviços de informação;
6. controle de acesso;
7. técnicas criptográficas;
8. proteção contra malware;
9. desativação, bloqueio e exclusão de forma remota;
10. backups; e
11. uso dos serviços web e aplicações web.

Conscientização: Pessoas que realizam trabalho sob o controle da organização devem estar cientes da política de segurança da informação e privacidade;

Avaliação de riscos de segurança da informação: a organização deve realizar avaliações de riscos de segurança da informação e privacidade a intervalos planejados, ou quando mudanças significativas são propostas ou ocorrem.

Referências Bibliográficas

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27001: Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27002: Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2013.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Rio de Janeiro: ABNT, 2019.

ADVANCED INTELLIGENCE. The Dark Web of Intrigue: How REvil Used the Underground Ecosystem to Form an Extortion Cartel. Disponível em: https://www.advanced-intel.com/post/the-dark-web-of-intrigue-how-revil-used-the-underground-ecosystem-to-form-an-extortion-cartel.Acesso em: 2 mai. 2021.

G1. Polícia Civil inicia investigação sobre ataque cibernético ao sistema do TJ-RS. Disponível em: https://g1.globo.com/rs/rio-grande-do-sul/noticia/2021/04/30/policia-civil-inicia-investigacao-sobre-ataque-ao-sistema-informatico-do-tj-rs.ghtml. Acesso em: 2 mai. 2021.

G1. TJ-RS diz que sistema de informática do tribunal foi alvo de ataque cibernético: ‘É muito grave’. Disponível em: https://g1.globo.com/rs/rio-grande-do-sul/noticia/2021/04/29/tj-rs-diz-que-sistema-de-informatica-do-tribunal-foi-alvo-de-ataque-hacker-e-muito-grave.ghtml. Acesso em: 2 mai. 2021.

JORNAL DO ALMOÇO. TJ-RS diz que sistema de informática do tribunal foi alvo de ataque cibernético. Disponível em: https://globoplay.globo.com/v/9478079. Acesso em: 2 mai. 2021.