O que o ciberataque ao STJ tem a ver com você?

O Superior Tribunal de Justição (STJ) ficou sem acesso aos seus sistemas após um ciberataque de grandes proporções, sem precedentes, no dia 03 deste mês. O incidente ocasionou parada total dos sistemas internos, cancelamento de sessões virtuais, julgamentos e processos em andamento, além da perda de notas de alunos de cursos deste tribunal. Este foi mais um caso em que um ransomware foi utilizado para que cibercriminosos pudessem obter vantagens financeiras sobre organizações, sejam elas públicas ou privadas. O caso está sendo investigado pela Polícia Federal. Segundo o ministro Humberto Martins, o tribunal envia diariamente informações à Polícia Federal.

Quanto à investigação sobre os autores do ataque cibernético sofrido pelo STJ, o envio à Polícia Federal de informações pela equipe da Secretaria de Tecnologia da Informação e Comunicação (STI) do Tribunal é diário, num esforço conjunto para alcançar os criminosos e responsabilizá-los. A investigação corre sob sigilo.

Ministro Humberto Martins

Neste fatídico dia, por volta das 15h00, diversos sistemas do STJ ficaram indisponíveis. A equipe técnica, a princípio, achou que se tratava de falha no firewall. Após análise e diagnóstico da rede do tribunal, o seu tráfego foi transferido de maneira a não passar pelo firewall. Tais procedimentos surtiram efeito. A fim de se aprofundar sobre o que estava ocorrendo, novos procedimentos foram realizados e foi constatado que o problema de indisponibilidade era no ambiente de servidores virtuais. A equipe técnica encontrou indícios de invasão concreta, a partir de um arquivo que foi submetido ao suporte técnico do fabricante dos servidores, que em nova análise confirmou que tratava-se de um ataque cibernético. Uma conta Doman Admin foi explorada e permitiu ao cibercriminoso acesso aos servidores e consequente inserção do ransomware em grupos de administração do ambiente virtual deste Tribunal. Também houve tentativa de ataque ao ambiente de backup dos sistemas, quando os links de acesso foram derrubados, ocasionando o bloqueio de todas as contas que haviam acessado o sistema nas últimas 24 horas.

Ainda não há nada concreto, entretanto acredita-se que no ciberataque ao STJ, o ransomware tenha sido infiltrado dias antes do ataque, a partir do download de um arquivo que não teria sido identificado pelas ferramentas da segurança da TI deste órgão. Indícios também apontam para vulnerabilidades no software de virtualização dos servidores, além de falhas estruturais na rede, já que o ambiente de backup ficava na mesma rede dos servidores de produção.

O que o ciberataque no STJ tem a ver com você?

Nossos dados, nossos problemas! Os desdobramentos do ciberataque servem para reforçar a necessidade de adoção de medidas eficazes, multidisciplinares e com respaldo nas melhores práticas internacionais das normas técnicas.

É indiscutível que estamos passando por dificuldades acarretadas pela pandemia da COVID-19, entretanto o mundo também tem enfrentado incontáveis ciberataque a organizações de todos os tamanhos. Mas, quando tomamos ciência que organizações como CIA, NASA, Presidência da República do Brasil e outros órgãos, que a grosso modo, não têm problemas com recursos financeiros, tecnológicos ou humanos, nos faz refletir que o problema associado a isto é outro! E, nos faz concluir que há uma grande chance de serem erros em processos, seja por falta de capacitação, por resistência a mudança de cultura e/ou adaptação.

Atualmente, a Sociedade Brasileira conta, desde setembro deste ano, com a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, que dispõe sobre o tratamento (uso, armazenamento, transferência etc), de dados pessoais, nos meios físicos e digitais, por pessoa física ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Infelizmente, boa parte da população ainda sabe pouco sobre esta lei, ou até mesmo desconhece-a. A LGPD traz uma série de obrigações para empresas públicas ou privadas, e até mesmo para pessoas físicas que tenham por objetivo a oferta ou o fornecimento de bens ou serviços ou tratamento de dados de indivíduos localizados no território nacional.

Boa parte das organizações ainda enxergam a adequação à LGPD como sinônimo de custo, e não de prevenção. Sendo assim, optam por negligenciá-la, seja não prosseguindo com o tema, ou com ações pontuais, como a publicação de uma Política (Aviso) de Privacidade, e nada mais. Outras delegam o desafio da adequação ao setor jurídico, sem o comprometimento da alta direção com o tema. Ou até mesmo adquirem um software mirabolante com a promessa de ser adequada em um mês. Contudo, não se trata apenas das sanções da Autoridade Nacional de Proteção de Dados (ANPD), trata-se:

• Das sanções da ANPD;
• De processos na esfera da Justiça Comum, para cumprimento dos direitos dos titulares de dados;
• De evitar situações como as que o STJ está enfrentando;
• De zelar pelos dados dos titulares que confiaram estes à sua organização;
• De garantir a privacidade e proteção dos dados não só dos seus clientes, mas também dos seus colaboradores.

Cabe ressaltar, que também houve tentativas de ataques semelhantes a outros órgãos públicos como o Conselho Nacional de Justiça (CNJ), o DataSUS (órgão do Ministério da Saúde) e Governo do Distrito Federal. Entretanto, os impactos dessas tentativas foram mitigados, com sucesso.

Como a sua organização pode seguir com o tema privacidade e proteção de dados para se adequar à LGPD?

Convém que as organizações adotem políticas de segurança da informação e privacidade que sejam apoiadas por políticas específicas do tema, que exigem a implementação de controles de segurança e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organização ou para cobrir tópicos específicos, como por exemplo:

1. controle de acesso;
2. classificação e tratamento da informação;
3. segurança física e do ambiente;
4. tópicos orientados aos usuários finais:
   • uso aceitável dos ativos;
   • mesa limpa e tela limpa;
   • transferência de informações;
   • dispositivos móveis e trabalho remoto;
   • restrições sobre o uso e instalação de software;
5. backup;
6. transferência da informação;
7. proteção contra malware;
8. gerenciamento de vulnerabilidades técnicas;
9. controles criptográficos;
10. segurança nas comunicações;
11. proteção e privacidade da informação de identificação pessoal; e
12. relacionamento na cadeia de suprimento.

O curso da ACPD Brasil: ABNT 27701:2019, em detalhes, para a LGPD (12h) auxilia as organizações na condução do tema privacidade e proteção de dados pessoais, e é o pontapé para este grande desafio à adequação à Lei Geral de Proteção de Dados.

Mais detalhes sobre o incidente do STJ

O software CrowdStrike foi utilizado para fazer um mapeamento da situação após o ataque aos sistemas do STJ, para que fosse implementado um plano de recuperação do ambiente dos datacenters. No caso em questão, o ransomware utilizado foi o RansomExx, que é uma versão otimizada do malware que foi utilizado, em outubro deste ano, num ataque ao Tribunal de Justiça de Pernambuco (TJ-PE), e os dados foram criptografados com a extensão “.tjpe911”.

O que podemos considerar sobre o ataque:

• O cibercriminoso enviou e-mail através do ProtonMail. A conta utilizada foi suspensa no servidor Suíço;
• Houve execução do programa malicioso RansomExx, que explorou vulnerabilidades do Windows Server e VMware do tribunal;
• O ransomware se espalhou pelos sistemas internos do tribunal, acessando e criptografando arquivos, com a extensão “.stj888”;
• O cibercriminoso salvou um arquivo de texto numa das pastas digitais do tribunal, exigindo resgate, em criptomoedas, para liberar os dados criptografados, e documentou que caso houvesse tentativa de recuperar o conteúdo resultaria na destruição dos arquivos.

O RansomExx anda fazendo outras vítimas Brasil a fora, como o Departamento de Transportes do Texas (TxDOT), nos Estados Unidos. Na ocasião, os arquivos foram cifrados com a extensão “.txd0t”. Os cibercriminosos que vêm fazendo uso deste ransomware não miram apenas órgãos governamentais, mas também organizações privadas, como Konica Minolta, IPG Photonics, and Tyler Technologies.

O STJ ainda continua se recuperando do ataque, e está recebendo ajuda de profissionais de segurança da informação de outros órgãos, a fim de mitigar os impactos deste fatídico episódio.

“O trabalho de recuperação das informações está sendo realizado pela equipe de TI do Tribunal. O Serpro, assim como outras instituições públicas, solidário ao momento enfrentado pelo STJ, disponibilizou sua equipe de cibersegurança para o Tribunal, somando sua expertise a outras equipes, e todas à equipe do STJ”, disse o Serpro em nota à imprensa. “

SERPRO

Este trabalho vem sendo coordenado pela Secretaria de Governo Digital, do Ministério da Economia, e o seu principal objetivo é reforçar a proteção e privacidade dos dados, em instituições públicas, com destaque para as seguintes mediadas:

• Realização de diagnósticos frequentes sobre as tentativas de invasão;
• A adoção de boas práticas de protocolos de segurança; e
• Medidas preventivas para evitar que os sistemas do governo sejam afetados ou comprometidos.

A Terceira Seção do STF decidiu, por maioria, que a determinação judicial de quebra de sigilo de registros relacionados à identificação de usuários que operam em determinada região geográfica, caso seja suficientemente fundamentada, não ofende a proteção constitucional à privacidade e à intimidade. A decisão foi registrada como RMS 61.302-RJ e teve como relator o ministro Rogerio Schietti Cruz.

Pesquisa realizada pela empresa Veeam com seus clientes, revelou que:

• 68% das organizações latino-americanas foram vítimas de investidas de cibercriminosos para utilização de ransomwares, nos últimos dois anos;
• 42% dos incidentes de segurança da informação, utilizando ransomwares, tiveram origem em e-mails de spam;
• A maioria dos ataques acarretou perda de dados e tempo de inatividade de seus processos, e consequentemente de seus colaboradores.

Recentemente, o Governo publicou dois documentos bastante relevantes ao tema privacidade e proteção de dados:

• Guia de Boas Práticas da LGPD;
• Guia de Avaliação de Riscos de Segurança e Privacidade.

No caso do ataque ao STJ, mais de 1.200 servidores foram afetados e estes correspondem a cerca de 12 mil julgamentos.

Referências Bibliográficas:

CANAL CIÊNCIAS CRIMINAIS. STJ define novas diretrizes sobre quebra de sigilo de dados informáticos. Disponível em: https://canalcienciascriminais.com.br/stj-define-novas-diretrizes-sobre-quebra-de-sigilo-de-dados-informaticos. Acesso em: 23 nov. 2020.

O BASTIDOR. CNJ, Governo de Brasília e SUS sofrem ataque semelhante ao do STJ. Disponível em: https://obastidor.com.br/investigacao/cnj-governo-de-brasilia-e-sus-sofrem-ataque-semelhante-ao-do-stj-25. Acesso em: 23 nov. 2020.

OLHAR DIGITAL. Ransomware que afeta STJ já atingiu empresas e governos fora do Brasil. Disponível em: https://olhardigital.com.br/fique_seguro/noticia/ransomware-que-afeta-stj-ja-atingiu-empresas-e-governos-fora-do-brasil/109866. Acesso em: 23 nov. 2020.

SECURITY REPORT. Ataque aos Sistemas do STJ requer configurações nos protocolos de Segurança do Windows. Disponível em: https://www.securityreport.com.br/overview/ataque-aos-sistemas-do-stj-requer-configuracoes-nos-protocolos-de-seguranca-do-windows. Acesso em: 23 nov. 2020.

THE HACK. Serpro envia reforços para ajudar STJ recuperar arquivos criptografados. Disponível em: https://thehack.com.br/serpro-envia-reforcos-para-ajudar-stj-recuperar-arquivos-criptografados. Acesso em: 23 nov. 2020.

VEJA. O impacto do ataque hacker que atingiu STJ na América Latina. Disponível em: https://veja.abril.com.br/blog/radar/o-impacto-do-ataque-hacker-que-atingiu-stj-na-america-latina. Acesso em: 23 nov. 2020.