Sites revelam que cibercriminosos querem U$ 5 milhões para desbloquear sistema informatizado do TJRS

 A natureza do ataque cibernético ao TJRS teria sido identificada, segundo vários sites como o Bleeping Computer, que cobre notícias de tecnologia e oferece ajuda gratuita de informática por meio de seus fóruns, e o CISO Advisor, portal de noticiário sobre segurança cibernética e ciberdefesa. Trata-se de um “ransomware REvil”. As publicações online informaram que os cibercriminosos estariam exigindo o equivalente a US$ 5 milhões em criptomoedas para fornecer as chaves que podem decodificar o conteúdo criptografado em servidores e estações de trabalho da instituição judicial. 

Na matéria do CISO Advisor é citado inclusive que uma tela azul com texto em inglês informando que deviam procurar uma nota de resgate no arquivo 34o0n-readme.txt: “All of your files are encrypted! Find 34o0n-readme.txt and follow instructions”. As autoridades gaúchas não confirmam as informações. Além do próprio TJRS, a Polícia Civil e Ministério Público do Rio Grande do Sul investigam o ataque dos cibercriminosos.

Em entrevista à reportagem do Correio do Povo, Vagner Rafael Christ, especialista em segurança da informação na Netfive, de Porto Alegre, explicou que ainda “não se sabe detalhes de qual variante do ransomware está sendo utilizado para atacar os sistemas do TJRS”. Segundo ele, as equipes estão trabalhando dia e noite para tentar identificar o chamado “paciente 0” na esperança de obter mais detalhes deste malware. “Existe a possibilidade desta ser uma variante nunca antes vista, o que dificulta a ação dos especialistas na contenção da infecção”, pontuou.

De acordo com Vagner Rafael Christ, é inútil disponibilizar os sistemas e arquivos para os servidores exercerem suas funções diárias enquanto os especialistas não conseguirem identificar como o ransomware está se propagando pela rede, pois esses arquivos recuperados serão novamente um alvo fácil. “A recuperação é feita, normalmente, a partir de um backup (uma cópia dos arquivos armazenados em um lugar seguro) e pode levar alguns dias dependendo do volume de dados, onde e como foram armazenados”, observou.

“Os relatórios de riscos globais apontam ataques cibernéticos como uma das principais ameaças para a interrupção de negócios no mundo todo. É necessário que as empresas invistam em medidas de prevenção, podendo ser técnicas, culturais ou processos e medidas de recuperação, para garantir que os dados serão recuperados (mesmo que demorem um certo tempo), entendendo que um ataque cibernético não é uma questão de ‘se’ acontecer mas ‘quando’ ele vai acontecer”, afirmou.

Vagner Rafael Christ lembrou que malware é um software malicioso (malicious software) que, se for executado, pode causar danos de várias maneiras. Ele citou como exemplo fazer com que um dispositivo fique bloqueado ou inutilizável; roubar, excluir ou criptografar dados; assumir o controle de seus dispositivos para atacar outras organizações; obter credenciais que permitem o acesso aos sistemas ou serviços da organização; mineração de criptomoeda e uso de serviços que podem custar caro, como ligações com tarifas especiais.

Conforme o especialista, o ransomware é um tipo de malware que impede o acesso ao computador ou os dados armazenados nele. “O próprio computador pode ser bloqueado ou os dados nele contidos podem ser roubados, excluídos ou criptografados. Alguns ransomware também tentarão se espalhar para outras máquinas na rede”, acrescentou.

“Normalmente, você é solicitado a entrar em contato com o invasor por meio de um endereço de e-mail anônimo ou seguir as instruções em uma página da web anônima para fazer o pagamento”, disse. “O pagamento é invariavelmente exigido em uma criptomoeda como Bitcoin, a fim de desbloquear seu computador ou acessar seus dados. No entanto, mesmo que você pague o resgate, não há garantia de que terá acesso ao seu computador ou aos seus arquivos”, ressalvou.  

Correio do Povo