Por Paulo Brito
O ransomware que atingiu o STJ é provavelmente o RansomEXX, uma versão rebatizada do Defray777 segundo o pesquisador de segurança Steve Mullaney. Um dos indicadores de que seja esse o malware é a nota de resgate deixada em pelo menos um dos servidores. Ela está num arquivo de texto com o nome de “!NEWS_FOR_STJ!.txt” – o nome guarda semelhança com o nome de arquivo registrado por pesquisadores em outros incidentes. O pesquisador Fernando Amatte, da empresa de segurança Cipher, disse em entrevista ao CISO Advisor ter recebido informações segundo as quais o ransomware seria mesmo o RansomEXX, que guarda grandes semelhanças com o Defray777.
Ele já atingiu a Konica Minolta, a IPG Photonics, o Texas Department of Transportation (TxDOT) e há poucas semanas a Tyler Technologies – que teria pago o resgate segundo noticiário internacional.
O RansomEXX foi detectado pela primeira vez no primeiro semestre deste ano. Segundo os registros das empresas de segurança, é um malware perigoso, que busca lucrar com empresas e usuários domésticos. Os especialistas do projeto 2SPYWARE afirmam que ele é usado com direcionamento para vítimas específicas, usando algoritmos de criptografia AES-256 e RSA-2048 para codificar arquivos. Assim que termina sua criptografia, grava um arquivo de texto com a mensagem para a vítima.
O texto da nota de resgate, a extensão dos arquivos criptografados e o endereço de e-mail para comunicação são personalizados para cada ataque segundo as empresas de segurança. No caso do STJ, a extensão utilizada foi “.stj888”. A nota deixada nos servidores não tem destinatário específico, já que poderia ser encontrada por qualquer pessoa. Ela diz que o usuário deve procurar alguém da área de TI para que tome conhecimento da mensagem.
O texto é dirigido ao “GM” (general manager ou gerente-geral) do Tribunal de Justiça e diz o seguinte:
“Verifique esta mensagem com atenção e entre em contato com alguém do departamento de TI. Seus arquivos estão totalmente criptografados. Corrigir os nomes ou conteúdos dos itens afetados (*.stj888) pode causar falha na restauração. Você pode nos enviar qualquer item afetado (menor do que 900KB) e nós vamos repará-lo. O item afetado não deve conter inteligência útil. O resto dos dados estará disponível após pagamento. Entre em contato se você representar o Superior Tribunal de Justiça. [segue-se um endereço de e-mail do provedor ProtonMail, que oferece caixas postais criptografadas]. Se nós não respondermos a você em dois dias, mande-nos o seu endereço de e-mail por mensagem direta aqui: [segue-se um endereço de mensagem direta no serviço Mastodon].
Curiosamente, o apelido escolhido pelos operadores do ransomware para receber mensagens no Mastodon é “uhnwi” – sigla utilizada no setor financeiro para “indivíduos com patrimônio líquido ultra alto (Ultra High Net Worth Individual). São pessoas com ativos de investimento de pelo menos US $ 30 milhões.