This post is also available in: Português Español
Ragnar Locker é usado no ataque a uma grande empresa do setor de energia e ameaça vazar informações sigilosas.
“Fizemos o download de mais de 10TB de informação privada de seus servidores. Seguem alguns arquivos e prints de tela como prova. Depende de vocês tornar esses e outros dados públicos ou mantê-los em sigilo”.
Foi com essas frases que os cibercriminosos que atacaram a gigante multinacional portuguesa Energias de Portugal (EDP) notificaram a sua vítima. Os invasores usaram o ransomware Ragnar Locker e criptografaram os sistemas da empresa.
Há informações de pedidos de resgate na casa dos 1580 Bitcoins, o que equivale a US$ 10,9 milhões ou 9,9 milhões de Euros.
O Grupo EDP é um dos maiores operadores europeus do setor de energia, e também o quarto maior produtor mundial de energia eólica.
Presente em 19 países e 4 continentes, possui mais de 11,5 mil funcionários e fornece energia a mais de 11 milhões de pessoas – quantia semelhante à população da Suécia, por exemplo. Até o momento, nenhum dos clientes foi afetado, e o fornecimento de energia elétrica não sofreu alterações.
Ameaça real
Entre os 10 TB de dados confidenciais impactados, está o arquivo edpradmin2.kdb, um banco de dados do gerenciador de senhas do KeePass.
No site criado pelos invasores sobre o ataque, ao clicar no link do arquivo o usuário é levado a uma exportação de banco de dados, incluindo logins, senhas, contas, URLs e anotações sobre os funcionários da EDP.
Uma breve amostra do poder que os criminosos possuem em suas mãos. Eles alegam ter também informações confidenciais sobre cobrança, contratos, transações, clientes e parceiros.
“Saiba que, se vocês não pagarem, todos os arquivos e documentos serão publicados na internet, e também notificaremos todos os seus clientes e parceiros sobre esse vazamento com links diretos”, diz a nota de resgate. “Portanto, se quiserem evitar danos à sua reputação, paguem a quantia que exigimos”.
Outro aviso dos criminosos diz respeito às tentativas da empresa em resolver o problema sem fazer o pagamento. Eles informaram que a EDP não deve tentar descriptografar seus dados usando qualquer outro software que não seja a ferramenta fornecida pelos operadores do Ragnar Locker.
Caso contrário, correm o risco de danificar o seu próprio banco de dados, ou mesmo perdê-lo totalmente. Quase que de maneira provocativa, os invasores oferecem à EDP um preço especial se pagarem em até dois dias.
Mas também foram avisados que terão de esperar a sua vez, pois o bate-papo ao vivo do ransomware para contato não está disponível 24 horas por dia.
Em busca de alternativas
Entretanto, o Centro Nacional de Cibersegurança (CNCS), vinculado ao Governo de Portugal, diz que não tem conhecimento sobre pedidos de resgate, e informa que a sua atuação acontece em conjunto com a EDP e as entidades competentes.
O órgão afirma ainda que foram aplicadas medidas de prevenção e proteção dos sistemas da companhia. “Estamos tomando medidas de contenção, análise, resposta, segurança e de reposição dos serviços à sua normalidade”, segundo um comunicado divulgado.
Como é de costume, os invasores estiveram na rede da vítima durante algum tempo antes sair. Mesmo sem saber a duração dessa iniciativa, há indícios de que uma quantidade considerável de arquivos já tinha sido roubada no dia 6 de abril.
Os operadores do Ragnar Locker têm como alvo o software usado regularmente pelos provedores de serviços gerenciados para impedir que o ataque seja detectado e bloqueado.
É algo que ajuda a explicar como a ação dos hackers não foi notada antes. Ainda assim, causa surpresa o fato de uma empresa gigante estar sendo invadida dessa maneira, o que mostra o poder de ação dos cibercriminosos, que atacam empresas de diversos tamanhos e setores no mundo todo.
This post is also available in: Português Español
