Hackers Publicam Dados do ExecuPharm que Roubaram em um Ataque de Ransomware
A ExecuPharm, uma subsidiária da gigante biofarmacêutica americana Parexel, sofreu um ataque de ransomware que se transformou em violação de dados, de acordo com um anúncio recente da empresa.
Um fornecedor de serviços de suporte à pesquisa clínica farmacêutica, o ExecuPharm, foi atingido pela ameaça CLOP Ransomware, afirmou a empresa em uma carta ao Gabinete do Procurador Geral de Vermont. O ataque ocorreu em 13 de março de 2020 e "comprometeu informações corporativas e pessoais selecionadas".
"Como parte desse incidente, os funcionários da ExecuPharm receberam e-mails de phishing de pessoas desconhecidas. Após uma investigação completa, a ExecuPharm determinou que os indivíduos por trás da criptografia e do envio desses e-mails podem ter acessado e/ou informações pessoais selecionadas, relacionadas ao pessoal da ExecuPharm, bem como informações pessoais selecionadas, relacionadas ao pessoal da Parexel, cujas informações foram armazenadas na rede de dados da ExecuPharm", dizia o aviso da empresa.
Embora o ataque tenha ocorrido no mês passado, a ExecuPharm começou a notificar os seus funcionários e as autoridades sobre a violação de dados somente depois que as informações roubadas foram postadas em um Dark Site que já havia sido associado ao grupo do CLOP Ransomware.
O roubo de arquivos importantes antes de criptografá-los foi usado pela primeira vez pelo grupo do Maze, mas foi rapidamente adotado por muitos outros, incluindo os operadores do Sodinokibi, do LockBit e do DoppelPaymer, para citar alguns.
O vazamento do ExecuPharma foi significativo em escala e continha muitas informações, incluindo registros financeiros e contábeis, números do seguro social, conta bancária e número de cartão de crédito, números de passaporte e carteira de motorista, números do IBAN/SWIFT, números do seguro nacional, números de identificação nacionais, ID de contribuinte/EIN e milhares de e-mails internos.
A empresa diz que, em resposta ao incidente, conseguiu recuperar os servidores impactados com backups, aplicação da lei notificada, redefinições forçadas de senha e também introduziu uma série de novas medidas de proteção, incluindo autenticação de múltiplos fatores e serviços de monitoramento de identidade.
Os operadores do CLOP Ransomware são um dos grupos que se comprometeram a não atacar hospitais, instituições de caridade e asilos durante a pandemia do COVID-19. A gangue de criminosos cibernéticos, no entanto, afirmou que empresas farmacêuticas comerciais como a ExecuPharm não seriam poupadas, pois "são as únicas que se beneficiam da atual pandemia".
O incidente da ExecuPharm é apenas uma prova de que as táticas em evolução dos operadores de ransomware podem exercer mais pressão, mesmo nas empresas que fizeram o backup dos seus dados confidenciais e se recusam a pagar o resgate. A ameaça de publicar essas informações pode ser usada como alavancagem pelos atacantes, contra qualquer pessoa que não queira pagar ou consegue recuperar os dados criptografados sem a "ajuda" deles.