O ciberataque sofrido pela gigante do varejo Lojas Renner ontem à tarde, supostamente atribuído a ransomware, ainda causa indisponibilidade no e-commerce da companhia, apesar das lojas físicas estarem abertas.

Em imagens relacionadas ao incidente que tem sido compartilhadas na Internet, o ataque pode ter sido causado pelo Defray777, da família RansomEXX (responsável pelo ataque ao STJ no final do ano passado).

Altamente sofisticado, o Defray777 pode infectar máquinas Windows e Linux usando o mesmo executável, permitindo que atinja arquiteturas capazes de rodar executáveis ELF, como o #Mware ESXi, alavancando-se rapidamente para todo um Data Center virtualizado, que é o que ocorreu na Renner, com 2600 servidores afetados, segundo relatos.

Por rodar totalmente em memória, torna-se de difícil detecção, mesmo para ferramentas modernas de EDR, o que destaca ainda mais a estratégia de proteção em camadas – nenhuma solução ou tecnologia é a “bala de prata”, por mais avançada ou cara que seja.

É preciso detectar e bloquear as ameaças nos diversos estágios do ataque, do perímetro da rede ou do usuário até a execução de comandos em máquinas ou comportamento malicioso, somente assim é possível mitigar riscos cada vez mais complexos e destrutivos.