Ransomware atinge a Secretaria do Tesouro Nacional do Brasil

A Secretaria do Tesouro Nacional (STN), vinculada ao Ministério da Economia do Brasil, sofreu um ataque ransomware no último dia 13 de agosto.

Segundo nota divulgada no site da instituição, medidas de contenção foram imediatamente aplicadas, e a Polícia Federal foi acionada. Os efeitos da ação criminosa estão sendo avaliados pelos especialistas em segurança da STN e da Secretaria de Governo Digital, e medidas saneadoras estão sendo tomadas.

Também de acordo com a STN, a ação não gerou danos aos sistemas estruturantes da instituição, entre eles o Sistema Integrado de Administração Financeira (SIAFI) e os relacionados à Dívida Pública.

A Secretaria do Tesouro Nacional é responsável por administrar os recursos financeiros do governo federal, vindos principalmente dos impostos pagos pelos cidadãos. Também avalia a situação fiscal dos país e emite títulos da dívida pública do país, que se tornaram um programa brasileiro de investimentos, o Tesouro Direto, cuja bandeira é ser uma forma de aplicar dinheiro de forma segura.

Segundo o site CISOAdivisor, semanas atrás, operadores do grupo ransomware Everest mencionaram em um post que haviam tido acesso a uma rede da Procuradoria Geral da Fazenda Nacional. De acordo com os hackers, um total de 3,1 GB de dados tinham sido publicados, no entanto os arquivos foram apagados do endereço de publicação. O post não mencionava ter atingido o Ministério da Economia.

Outros episódios

Esse não é o primeiro caso de ataque ransomware a órgãos governamentais brasileiros que se tem notícia recentemente.

Em novembro de 2020, o Supremo Tribunal de Justiça (STJ) ficou inoperante após ter sofrido um ataque durante sessões de julgamento. Por precaução, as sessões de julgamento virtuais e por videoconferência ficaram suspensas, além dos prazos processuais, até o restabelecimento dos sistemas. Também segundo o site CISOAdivisor, um relato em áudio feito por um funcionário da área de TI do órgão indica que se tratou de um ataque ransomware por meio do qual foram criptografados mais de 1.200 servidores, sendo a maioria de máquinas virtuais.

O relato afirma que foi criptografado o ambiente virtualizado com todas as informações do departamento de TI do STJ, exceto processos judiciais que são executados uma área separada do sistema virtualizado. Segundo o profissional que fez o relato, “a TI inteira está quase de luto, porque não se espera que ocorra um incidente desses.

Uma nota de resgate recuperada de um dos computadores criptografados mostra que a gangue RansomExx estava por trás da invasão ao STJ.

Segundo uma fonte anônima do site Bleemping Computer, os sistemas do Tribunal de Justiça do Estado de Pernambuco (TJPE) também foram atingidos pelo grupo RansomExx no dia 27 de outubro de 2020, tendo os arquivos criptografados com a extensão .tjpe911. O RansomEXX é altamente direcionado, sendo que cada uma de suas amostras possui o nome codificado da organização-vítima. Além disso, tanto a extensão do arquivo criptografado quanto o endereço de e-mail para entrar em contato com a gangue cibernética utilizam o nome da vítima.

Os operadores do RansomExx também publicaram na Dark Web documentos confidenciais da Embraer, principal indústria aeroespacial brasileira e uma das mais importantes do mundo, no final de 2020. O grupo havia invadido a rede da empresa e criptografado servidores. Os nomes dos arquivos vazados sugerem que tratam de contratos comerciais, fotos de simulações de voo e código-fonte, entre outros.

Recentemente, a Gigabyte, fabricante taiwanesa de componentes de hardware, também foi vítima do grupo RansomEXX, que ameaçou publicar 112 GB de dados roubados, caso o resgate não fosse pago. O ataque ocorreu no início de agosto e afetou vários sites da empresa na Web, entre eles o de suporte.

Responsáveis por gerar prejuízos financeiros e paralisar atividades de empresas, os ataques de ransomware seguem uma tendência de grande alta no Brasil. Segundo dados da Check Point Software, ações do tipo aumentaram em 92% no país desde o início de 2021, seguindo uma tendência global que registrou uma alta de 41% em ataques no período.

De acordo com a empresa, a América Latina e a Europa foram os territórios que mais sofreram com ataques de ransomware, registrando altas de 62% e 59% em seus números, respectivamente. Os setores que mais sofreram são o da educação (alta de 347%), transportes (186%), varejo/atacado (162%) e saúde (159%).

As principais tendências indicadas pela Check Point incluem:

• Aumento global em ataques cibernéticos: no primeiro semestre de 2021, na região de EMEA, a média semanal de quantidade de ataques por organização foi de 777, um aumento de 36%. As organizações na região APAC sofreram 1.338 ataques semanais, um aumento de 13%. Especificamente na Europa, houve um aumento de 27%, enquanto a América Latina teve um aumento de 19% de ataques semanais às organizações.

• Houve aumento de ataques de ransomware e “tripla extorsão”: globalmente, o número de ataques de ransomware a organizações aumentou 93% no primeiro semestre de 2021, em comparação com o mesmo período do ano passado. Cada vez mais, além de roubar dados confidenciais de organizações e ameaçar liberá-los publicamente, a menos que um pagamento de resgate seja feito, os atacantes agora visam os clientes e / ou parceiros de negócios dessas organizações e exigindo deles também um valor de resgate.

• Aumentaram também os ataques à cadeia de suprimentos: o conhecido ataque à cadeia de suprimentos da SolarWinds se destaca em 2021 devido à sua escala e influência, porém outros ataques sofisticados à cadeia de suprimentos ocorreram, como Codecov em abril e, mais recentemente contra a Kaseya.

• Há uma corrida para se tornar o sucessor do Emotet: após a queda deste botnet em janeiro, outros malwares estão ganhando popularidade rapidamente, como: Trickbot, Dridex, Qbot e IcedID.

Previsões para o segundo semestre de 2021

De acordo com os analistas daCheck Point, o  ransomware crescerá, apesar dos esforços legais contra os ataques e as ameaças. O uso crescente de ferramentas de penetração nos sistemas dará aos hackers a capacidade de personalizar os seus ataques em tempo real. A popularização dos ataques que atingem vítimas colaterais exigirá uma estratégia de segurança específica que procure minimizar estes danos.

“No primeiro semestre de 2021, os cibercriminosos continuaram a adaptar suas práticas para explorar a mudança para o trabalho híbrido, visando as cadeias de suprimentos das organizações e os links de rede para parceiros, a fim de causar o máximo de interrupções possíveis”, afirma Maya Horowitz, diretora de Pesquisa de Inteligência de Ameaças da divisão Check Point Research (CPR).