Pontos de Ataque do EDP Ransomware com Tendência Crescente a Vazamentos Públicos pelos Autores de Ameaças
Na maioria dos casos, os ataques de ransomware seguem um padrão relativamente simples. Os invasores bloqueiam os arquivos do usuário com uma criptografia segura e, em seguida, enviam uma nota de resgate com informações de contato e uma carteira, prometendo restaurar o acesso após o pagamento. Embora essa seja uma maneira popular e lucrativa de cometer crimes, a situação está piorando, como no caso das tais ameaças. Grandes empresas e corporações estão se tornando alvo de agentes de ameaças e, com isso, estão encontrando maneiras criativas de empurrar as suas vítimas para pagarem os pedidos de resgate. A Energias de Portugal (EDP) descobriisso da maneira mais difícil possível, pois estava ameaçada com a divulgação pública dos seus dados confidenciais roubados, se decidisse não concordar com o pagamento do resgate.
A EDP é a maior empresa de energia de Portugal, também um dos maiores fornecedores de energia eólica do mundo. A empresa foi atacada pelo grupo de hackers Ragnarok, conhecido pelo uso do Ragnar Locker Ransomware. Eles atacam os provedores de serviços desde o final de 2019.
Índice
O Ragnarok Toma Nota das Operações do Maze Ransomware e Segue o Processo
Aprendendo com os ataques de ransomware do semestre anterior, tais como os realizados pelo grupo Maze, o Ragnarok seguiu seu exemplo. Eles ameaçaram publicamente despejar informações confidenciais retiradas dos 10 TB de dados que retiraram da EDP, se a empresa não pagar o resgate de US $10,9 milhões.
Esse é o exemplo mais recente de ataques conectados ao Ragnar Locker, com ataques anteriores pedindo cerca de um terço da metade da quantia listada acima. A empresa de energia também é o alvo mais significativo atingido por essa ameaça de ransomware até agora.
Os hackers publicaram vários arquivos e capturas de tela que validavam as suas ameaças. Ragnarok alega ter roubado cópias de contratos, informações de cobrança, comunicações privadas com clientes e parceiros, documentos de transação e muito mais. O grupo também mencionou que tinha um arquivo .kpb usado pelo banco de dados do gerenciador de senhas do KeePass usado para armazenar informações de login. Isso pode significar que os nomes de usuário e senhas dos funcionários da EDP podem ter sido comprometidos.
A EDP divulgou um comunicado à imprensa, mencionando que eles estão avaliando a situação sem o conhecimento dos dados roubados, além do que a mídia relatou. A empresa compartilhou o ataque ocorrido em 13 de abril, mas ele não afetou as suas operações de forma alguma. O MalwareHunterTeam iniciou a investigação do ataque de ransomware, compartilhando que os invasores podem ter acesso à empresa antes de 6 de abril. A investigação levou anum palpite sobre a localização geral da ameaça Ragnarok - uma parte do código impedia a execução do ransomware nas ex-repúblicas soviéticas.
Os Novos Ataques de Ransomware Visando Mais Lucros
Os ataques do passado visavam pegar as empresas de surpresa, com organizações restaurando os dados de backups com tempo de inatividade mínimo, de modo que não havia necessidade de pagar o resgate. Os ataques de ransomware foram expandidos ao atacar escolas, agências governamentais e até hospitais em 2019, mostrando que o mercado para esses ataques está crescendo sem moral.
Os atacantes que se esforçam para garantir que haja uma implicação de ameaça que leve a lucros cada vez maiores. Se alguém clicar no link do ransomware, ele terá acesso a uma rede corporativa vulnerável e bancos de dados relacionados. Quanto mais sofisticados os ataques, mais o acesso pode ser usado para filtrar dados essenciais antes de serem criptografados. Os atacantes estão usando essa alavancagem sobre as suas vítimas para conter a ameaça de vazamento de informações, mantendo os dados como reféns de várias maneiras.
As Vítimas estão Enfrentando Problemas Mais Significativos
A resposta das violações de segurança deve acompanhar as ameaças, já que informações comerciais confidenciais e dados pessoais de clientes e funcionários vazando podem colocar muitas pessoas sob o risco de roubo de identidade e pior.
Os novos métodos usados pelos operadores de ransomware estão mostrando um aumento na visão comercial, que vai além da simples ameaça. Eles estão fazendo o processo parecer quase legitimamente semelhante ao varejo, oferecendo descontos para pagamentos antecipados, como foi o caso do Ragnarok oferecendo à EDP um se o resgate fosse pago em dois dias. Eles ainda oferecem 'atendimento ao cliente' com um sistema de bate-papo ao vivo.
Desenvolvimentos como esses mostram que empresas e indivíduos precisam colocar muito mais ênfase na prevenção de violações nas suas operações diárias. Os usuários precisam estar cientes dos perigos de e-mails de phishing, clicar em links com malware e muito mais. O treinamento dos funcionários deve ser uma prioridade para melhorar a conscientização e os custos da recuperação de violações e vazamentos de arquivos confidenciais da empresa.