O Superior Tribunal de Justiça (STJ) sofreu, no último dia 3, um ataque de grandes proporções à sua rede, ocasionando parada total dos sistemas internos, cancelando sessões virtuais, julgamentos e paralisando processos em andamento.
Especialistas em segurança cibernética identificaram um programa malicioso do tipo RansomExx, que nada mais é do que uma versão repaginada do mesmo ransomware que atacou, em junho, o Departamento de Transporte do Texas e, mais tarde, em outubro, o site do Tribunal de Pernambuco.
O ataque explorou vulnerabilidades do Windows Server e Vmware, como a Zerologon, que se trata de uma falha no serviço de autenticação Netlogon, que, entre outras coisas, é responsável pela modificação de senhas para contas de usuário em controladores de domínio do Active Directory.
Após a invasão, o vírus se espalhou para os sistemas internos, acessando e criptografando arquivos e exigindo, em seguida, resgate em criptomoedas para liberação da rede.
De acordo com Carlos Rodrigues, Vice-presidente da Varonis, empresa pioneira em segurança e análise de dados, normalmente, nesse tipo de ataque, os hackers se aproveitam do fato de ainda poucas empresas terem um backup de segurança dos dados ou, quando tem, não estar em um ambiente seguro.
“Hoje, mais de 80% das organizações brasileiras e latino-americanas operam em ambiente híbrido. Então é fundamental que a segurança seja aplicada em todas as pontas e que sejam feitas as configurações necessárias nos protocolos de segurança do Windows, que podem mitigar os riscos e evitar prejuízos maiores às organizações”, recomenda o executivo.
Além das recomendações já divulgadas pelo Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), engenheiros de segurança da Varonis prepararam novas configurações avançadas como, por exemplo, a coleta e alertas de novos eventos de log NTLM do Active Directory (AD). O NTLM é um conjunto de protocolos de segurança da Microsoft, que fornece autenticação, integridade e confidencialidade aos usuários.
“Ao restringir as políticas de segurança que controlam as permissões de acesso, é possível impedir, por exemplo, tráfegos provenientes de servidores remotos ou recusar qualquer autenticação em um determinado domínio”, destaca Rodrigues.