This post is also available in: Português
Centrais Elétricas Brasileiras (Eletrobras) e Companhia Paranaense de Energia (Copel), duas grandes empresas de energia elétrica do Brasil, anunciaram que sofreram ataques de ransomware na semana passada.
Ambas as empresas são estatais, tendo um papel super-relevante no mercado nacional. A Copel é a maior do estado do Paraná, enquanto a Eletrobras é a maior concessionária de energia da América Latina – e também possui a Eletronuclear, uma subsidiária dedicada à construção e operação de usinas nucleares.
A invasão interrompeu as operações e forçou a suspensão temporária de alguns sistemas. No caso da Eletrobras, o incidente ocorreu na Eletronuclear. O ransomware, contudo, afetou alguns servidores da rede administrativa, e não teve impacto nas operações das usinas nucleares de Angra 1 e Angra 2.
Por motivos de segurança, as operações nas duas usinas estão desconectadas da rede administrativa, fazendo com que o fornecimento de eletricidade ao Sistema Interligado Nacional não fosse afetado.
Ainda assim, ao detectar o ataque, a Eletronuclear suspendeu alguns de seus sistemas para proteger a integridade da rede. Assim, a empresa isolou o malware e restringiu os efeitos do ataque. Entretanto, não informou se houve alguma violação de dados.
No caso da Copel, todavia, já se sabe que diversas informações foram furtadas. O responsável, inclusive, já foi detectado. É obra da gangue de ransomware Darkside, que afirma ter roubado mais de 1.000 GB de dados – incluindo informações confidenciais de acesso à infraestrutura e dados pessoais da alta administração e dos clientes.
De acordo com os crackers, eles obtiveram acesso à solução CyberArk da empresa para gerenciamento de acesso privilegiado e exfiltraram senhas de texto simples na infraestrutura local e de internet da Copel.
Eles também afirmam ter acessado o banco de dados que armazena informações do Active Directory (AD) – arquivo NTDS.dit, que inclui dados sobre objetos de usuário, grupos, associação de grupo e hashes de senha para todos os usuários no domínio.
Ao contrário de muitos operadores de ransomware, o Darkside não publica dados roubados em seu site de vazamento. Em vez disso, eles configuraram um sistema de armazenamento para hospedá-los. O acesso a esse conjunto é controlado pelos membros da gangue. Assim, os dados furtados da Copel não estão disponíveis gratuitamente, e provavelmente serão vendidos em fóruns clandestinos.
Sistemas principais intactos
A Copel anunciou o ocorrido em um processo junto à Securities and Exchange Commission (SEC) em 1º de fevereiro. Uma investigação já foi iniciada para determinar o impacto total do ataque.
Porém, já se sabe que os principais sistemas não foram afetados, e o fornecimento de energia elétrica e os serviços de telecomunicações continuaram a funcionar normalmente.
Os sistemas de operação e proteção detectaram os ataques e, de imediato, a empresa seguiu os protocolos de segurança, inclusive suspendendo o funcionamento de seu ambiente informatizado para proteger a integridade das informações. “O levantamento completo do ocorrido está em andamento e a companhia está tomando as providências necessárias para o restabelecimento da total normalidade”, disse a Copel em um comunicado.
Nesse contexto, ainda não está claro quantos segmentos da rede da Copel foram afetados pelo ataque, ou se os cibercriminosos conseguiram implantar a rotina de criptografia. Impressiona, contudo, o interesse de crackers em grandes empresas da infraestrutura crítica do Brasil. Resta saber se as demais companhias do ramo possuem um grau de preparo similar a Copel e Eletrobras, para evitar um eventual apagão de proporções gigantescas.
This post is also available in: Português
