Skip to content
Aiqon Blog
Cyber Security

Ransomware no STJ: Como as soluções da AIQON evitariam o ataque

Publicado

O Superior Tribunal de Justiça (STJ) detectou, no dia 3 de novembro de 2020, um ataque hacker nos seus sistemas, deixando toda a base de dados do tribunal criptografada, completamente inacessível para cidadãos e funcionários da Corte. Nesse artigo vamos exercitar formas que possivelmente evitariam esse ataque de ransomware no STJ.

Veja também: Ransomware no STJ: Como as soluções da AIQON evitariam o ataque (parte 2)

Nesse Artigo

O que sabemos

O ataque aconteceu nas plataformas de servidores (VMware) do STJ onde estão todos os sistemas da corte. Vale lembrar que um ataque de ransomware ocorre quando uma pessoa ou organização tem seus equipamentos infectados por um tipo de malware que criptografa todos os arquivos. Ele pode contaminar os computadores por meio de anexos ou links em e-mails de phishing, por um download feito em um site infectado ou pelo uso de unidades USB infectadas.

Bom isso nos leva a divagar por como e quais técnicas poderiam ser aplicadas para que o hacker tenha sucesso em sua empreitada do mal. Vamos primeiro elencar algumas possibilidades:

Para ter acesso ao ambiente e infectar os dispositivos o hacker poderia aplicar diversas técnicas desde enviar um e-mail com um anexo do malicioso e/ou até aplicar engenharia social, mas independente dos métodos como poderia essa catástrofe ser evitada?

Como as soluções da AIQON evitariam o ataque de ransomware no STJ

 

Aproveitar-se de vulnerabilidades (softwares desatualizados)

Neste caso um processo eficiente de patch management poderia evitar o ataque já que as portas de acesso para o ataque ou mesmo sua propagação dentro da rede seriam dificultadas pois sem essas falhas o hacker precisaria de caminhos mais difíceis. Mas vamos supor que eles utilizem o SYXSENSE nossa plataforma para gestão de patch e escaneamento de vulnerabilidades conhecidas em softwares. Dessa forma haveria menos brechas de segurança já que os equipamentos possuem correções e pelo scan de vulnerabilidades poderiam ajudar a corrigir possíveis falhas.

Leia também:  Ransomware: Como Detectar

Conteúdo relacionado

5 erros cometidos na gestão de patch

Utilizando um acesso legítimo ( trabalho remoto)

Vamos imaginar que o hacker tenha infectado o equipamento de um funcionário do STJ e utilizando-se da infra disponibilizada para o trabalho remoto obteve acesso aos servidores e pronto, é só colocar o malware em ação. Neste caso você deve estar imaginando o antivírus vai entrar em ação e impedir o ataque, certo? Errado, antivírus oferecem boas proteção nos casos mais avançados usando até heurística para identificar possíveis vírus e ameaças de forma a prosseguir com sua eliminação, mas isso não é suficiente para um ataque mais sofisticado como Zero Day(vírus ou vulnerabilidade desconhecidos do mercado) e vale lembrar que hoje em dia quanto mais a tecnologia avança mais os hackers ficam sofisticados.

Então não tem jeito? Bom, ser uma proteção 100% eficiente em 100% do tempo é praticamente impossível, mas vamos supor que eles tivessem o que há de melhor em proteção avançada de Cyber Segurança: DEEP INSTINCT. Uma solução baseada em deep learning capaz de identificar, bloquear e excluir ameaças em tempo real mesmo sendo um ataque, file-less, zero day, em memória ou até mesmo sem execução. Isso teria facilmente impedido a infecção a disseminação do ransomware no STJ.

Conteúdo relacionado

Porque o antivirus não é suficiente

Conhecendo o Deep Instinct

Utilizando um bug nos sistemas do STJ

E se o hacker encontrou um bug em um sistema, app ou API do STJ. Um bug que permitisse ter acesso ao back end ou até mesmo infectar de forma remota os computadores? Esses sistemas são os mesmo que funcionários e pessoa utilizam e muitas vezes de fácil acesso na internet e poderia ser facilmente estudado à exaustão por um grupo hacker, agora não tem jeito de evitar o ataque, já que é um bug do próprio STJ? Na verdade tem sim e nem precisamos ir muito longe para isso, sistemas que possuem acesso direto através da web como sites, apps, APIs e etc são mais suscetíveis aos ataques pois os hackers possuem acesso direto ao sistema e isso é fato, a menos é claro que o STJ contasse com um WAF de ponta como é o caso do Reblaze.

Leia também:  O que é a orquestração de segurança?

O Reblaze é um poderoso WAF que não permite acesso direto aos seus web assets  e consegue identificar e diferenciar humanos de máquinas que realizam acesso nesses sistemas  e inclusive proteger  contra técnicas de ataque conhecidas e aplicar análise de comportamento para banir ou bloquear acessos indevidos fora todas as regras que você pode personalizar para tornar o uso desse tipo de sistema muito seguro e sem impactar em nada os usuários que fazem uso.

Conteúdo relacionado

[webinar] – Protegendo websites, aplicativos móveis e serviços de API

Como a Segurança web em nuvem funciona (e por que ela é melhor)

Essas são algumas das formas que a AIQON poderia ajudar o STJ ou qualquer outra organização de sobre um ataque malicioso, existem outras formas de proteção e prevenção que vamos abordar em um segundo texto na semana que vem. Se ficou interessado em saber mais sobre essas e outras soluções que a AIQON pode prover, acesse o nosso portfólio ou entre em contato.

Veja também: Ransomware no STJ: Como as soluções da AIQON evitariam o ataque (parte 2)

Ransomware STJ


Artigos recomendados

Publicado

Ransomware: Como Detectar

O segundo tipo de incidente de malware mais comum é o notório ataque de ransomware. De acordo com o relatório de investigação […]

Cloud Security
Publicado

Cloud Security: Melhores Práticas

As melhores práticas de cloud security cobrem uma grande variedade de processos que incluem controle sobre pessoas, aplicações e infraestrutura. Quais melhores […]

Comente o que achou do artigo