Na manhã de quarta-feira (28), o Tribunal de Justiça do Rio Grande do Sul (TJRS) informou no Twitter que seus sistemas estavam instáveis. O que parecia um problema técnico pontual revelou ser algo muito mais grave: no mesmo dia, o órgão reconheceu ter sido alvo de um ataque. Há indícios de que os sistemas do TJRS foram comprometidos por um ransomware REvil.
O REvil é um grupo que se dedica a extorquir organizações de várias partes do mundo para devolver a elas dados capturados por meio de ransomwares. Só para dar um exemplo recente, neste mês de abril, o grupo ameaçou divulgar dados sigilosos da Apple se não recebesse um resgate de US$ 50 milhões.
Nos comunicados liberados até agora, o TJRS não deu detalhes do ataque. Em tweet publicado ainda no dia 28, o órgão se limitou a informar que a sua área técnica estava averiguando o problema em conjunto com o Núcleo de Inteligência “para a verificação da responsabilidade na sua origem e a sua extensão”.
Porém, o Bleeping Computer recebeu a informação de que o ataque foi conduzido pelo REvil. O grupo teria exigido um resgate de US$ 5 milhões para descriptografar os arquivos afetados pelo ataque e não vazar dados.
As consequências foram imediatas. Com alguns sistemas instáveis ou inacessíveis, funcionários tiveram dificuldades para exercer suas atividades. O TJRS chegou a orientar que os usuários não efetuassem login nos computadores. Na noite de quarta-feira, o tribunal teve que suspender prazos processuais e administrativos por causa do problema.
Nos bastidores, a situação era — e continua sendo — de pânico. Pelo menos é o que sugere uma captura de tela compartilhada com o Bleeping Computer por um especialista em segurança brasileiro que se identifica como Brute Bee. Em contato feito pelo Tecnoblog, Bee confirmou que o valor requisitado para o resgate é de US$ 5 milhões.
O especialista também revelou que, se o TJRS não atender às solicitações do REvil (ou seja, não pagar resgate) até 12 de maio, os sistemas do órgão poderão ser alvo de ataques DDoS. Dados sigilosos também poderão ser divulgados no blog do grupo como consequência. Bee estima que essa ação afetou cerca de 12 mil computadores.
A imagem abaixo mostra o que seriam funcionários do TJRS trocando mensagens a respeito do ataque. Uma delas diz: “Gente o negócio é feio. Todos arquivos que estavam nos computadores e pastas de trabalho foram perdidos”.
O Bleeping Computer também afirma ter recebido um áudio em que o interlocutor relata que o ataque é a pior coisa que já aconteceu ao TJRS e que a equipe de TI teve um “ataque histérico” enquanto tentava restaurar os sistemas afetados.
Restabelecimento dos sistemas
Nos dias seguintes ao ataque, o TJRS usou o Twitter e o seu site para comunicar o restabelecimento de alguns serviços. Outros continuavam inacessíveis na manhã desta sexta-feira (30), no entanto, a exemplo do sistema de atendimento telefônico (Cadi) e do sistema eThemis (Jec e Jefaz).
Também nesta manhã, o site do tribunal exibia um aviso de que o Portal TJRS estava temporariamente indisponível para manutenção, mas que sistemas como Eproc, Seeu e Sei podiam ser acessados.
O Tecnoblog entrou em contato como TJRS para confirmar se o ataque tem relação com o grupo REvil e pedir outros esclarecimentos. Em resposta enviada em torno das 18:00, o tribunal informou apenas que “equipes técnicas estão atuando da contenção e restauração dos sistemas” e que “as causas estão sendo avaliadas”.
Não há previsão de normalização dos serviços.
Atualizado às 16:25 com informações sobre o valor do resgaste e a ameaça de ataque DDoS.
Atualizado às 18:25 com a resposta do TJRS.
Fonte: Tecnoblog