0
0
A Acer foi atingida por um aparente ataque cibernético, de acordo com um post no site escuro do grupo de ransomware REvil.
O post e o suposto vazamento foram publicados na quinta-feira no site dark web leak da REvil, intitulado “Happy Blog”. A postagem, que a SearchSecurity visualizou de forma independente, continha uma longa lista de supostos registros financeiros do fornecedor de PCs de Taiwan. Não está claro se os atores da ameaça REvil implantaram ransomware na rede da Acer ou simplesmente roubaram dados corporativos.
A SearchSecurity entrou em contato com a Acer na quinta-feira para informar a empresa sobre o post e solicitou comentários sobre o suposto ataque. A Acer respondeu com uma declaração na manhã de sexta-feira.
“A Acer monitora rotineiramente seus sistemas de TI, e a maioria dos ataques cibernéticos é bem defendida. Empresas como nós estão constantemente sob ataque, e temos relatado situações anormais recentes observadas às autoridades policiais e de proteção de dados relevantes em vários países”, diz o comunicado. “Temos aprimorado continuamente nossa infraestrutura de segurança cibernética para proteger a continuidade dos negócios e a integridade das nossas informações. Instamos todas as empresas e organizações a aderirem às disciplinas e melhores práticas de segurança cibernética e estejam vigilantes a quaisquer anormalidades na atividade da rede.”
ATUALIZAÇÃO: Uma amostra de ransomware REvil no site de análise de malware Hatching Triage foi descoberta pela publicação irmã TechTarget LeMagIT Friday, que continha um link para uma demanda de ransomware REvil por US$50 milhões em Monero (213.151 XMR a partir da publicação).
O SearchSecurity visualizou de forma independente o link de demanda de resgate incluído na amostra de malware. Junto com a demanda estava uma guia de “apoio por bate-papo” que continha uma aparente janela de bate-papo entre atores de ameaças e um negociador trabalhando em nome de uma vítima sem nome. Como prova da violação, os atores da ameaça forneceram alguns dados, incluindo um link para o post do Happy Blog que continha dados da Acer.
O negociador pareceu surpreso com a alta demanda e tentou fazer com que os atores da ameaça a reduzissem, mas os atores da ameaça interromperam abruptamente as negociações em aparente frustração. O site tinha um tempo restante de aproximadamente 8 dias e 18 horas, momento em que o preço do Monero dobraria para US$100 milhões.
O fornecedor de detecção de ameaças Emsisoft notificou a SearchSecurity da postagem no REvil’s Happy Blog. Brett Callow, analista de ameaças da Emsisoft, disse em um e-mail que os atores de ameaças estão melhorando em atingir grandes alvos.
“Embora a maioria das vítimas de ransomware ainda sejam pequenas empresas, os atores de ameaças se tornaram cada vez mais hábeis em penetrar nas redes de empresas muito maiores. E, claro, isso significa resgates maiores, o que, por sua vez, significa que os criminosos estão mais bem dotados e mais incentivados do que nunca”, escreveu ele. “E, claro, o roubo de dados também se tornou cada vez mais comum, com mais de 1.300 organizações tendo seus dados roubados e publicados on-line em 2020.”
O REvil, também conhecido como Sodinokibi, foi identificado pela primeira vez pela Cisco Talos em 2019 e manteve um nível significativo de atividade nos anos seguintes.
FONTE: SEARCH SECURITY