Dados do Trabalho
Título
ESTUDO DE CASO: ATAQUE DO RANSOMWARE MATRIX/EG83
Introdução
Um ataque do Ransomware Matrix na rede do CREA-PB em 12/08/20 deixou vestígios em servidores secundários que permitiu várias análises periciais: estudo dos logs, demarcação de horários da ação invasora, suspeita da porta de entrada do ataque e, apesar de não ter sido encontrada amostra do programa malicioso, as informações da nota de resgate permitiram achados e análise do ransomware em cooperação com outras fontes de investigação, como relatórios de empresas de antivírus, projetos contra ransomwares.
Objetivos
Expor perícia de ataque de ransomware em que mesmo não se possuindo a amostra do programa malicioso, encontrou-se alternativa para essa análise e busca de autoria.
Parte experimental
Buscou-se amostra do ransomware em “no more ransom”, “id-ransomware”, entre outros projetos.
A análise de artefato semelhante obtido nessas fontes abertas foi feita com ferramenta automatizada disponível na intranet da PF (malware.pf.gov.br).
Resultados e Discussões
Apesar de não se ter encontrado o código malicioso no exame pericial, conseguiu-se um artefato semelhante, utilizado em outros ataques, que possuía nota de resgate indicando o mesmo e-mail do caso em questão (evagreps83@yahoo.com). Além disso, a data desse programa semelhante era 30/04/20, bem próxima da data de criação do segundo e-mail divulgado na nota de resgate, 29/04/20, que por sua vez era menos de quatro meses anterior ao ataque.
Sua análise na ferramenta automatizava constatou uma requisição HTTP ao site ghb.timerz.org, enviando nome do computador usuário e outros dados, possivelmente para identificar a chave utilizada na cifragem dos arquivos.
Esse site não estava mais disponível na Internet, porém em consultas do tipo DNS Passivo por IPs que respondiam por ele em datas próximas ao ataque (12/08/20), identificou-se um IP em 27/08/2020 pertencente ao Google na Finlândia. Dada a diferença de mais de um ano entre o ataque e a investigação, não foi continuada a busca pelo proprietário desse IP, apesar de já se ter conseguido respostas de provedores internacionais em casos semelhantes.
Conclusões
Para casos de Ransomware é importante incentivar a preservação das evidências, a contemporaneidade da investigação ao fato, divulgar as ferramentas disponíveis, as várias fontes de consulta, e no caso dos peritos, análise de laudos anteriores.
Referências e agradecimentos
JERÔNIMO, Klarissa de Souza. Laudo 535/2021-SETEC/SR/PF/PB, de 27/10/2021.
PEIXINHO, Ivo de Carvalho. Resposta do então NUCAT, ao Ofício Nº 482066/2022 - DELEFAZ/DRCOR/SR/PF/PB, de 22/03/2022.
Palavras Chave
Ransomware, nota de resgate, perícia.
Arquivos
Área
ICCyber
Autores
KLARISSA DE SOUZA JERONIMO, IVO DE CARVALHO PEIXINHO