Segundo o jornal Valor Econômico, os invasores usaram uma tática conhecida como movimento lateral.
A empresa informou queda dos seus sistemas na última terça-feira, 22. Foto: Pixabay.
A queda dos sistemas do Grupo Fleury, informada na tarde da última terça-feira, 22, foi consequência de um ciberataque do tipo ransomware, conforme afirma o jornal Valor Econômico.
Segundo a publicação, os invasores usaram uma tática de invasão conhecida como movimento lateral, explorando falhas simples em contas de usuários comuns até alcançarem contas com nível de administrador.
Desta forma, os cibercriminosos teriam chegado ao servidor de controle da rede da empresa e enviado comandos aos pontos finais da rede — que podem ser desde computadores de funcionários a dispositivos conectados, como smartphones e câmeras de vigilância.
Para liberar os dados criptografados, os invasores teriam pedido um resgate em bitcoin, o que geralmente é feito em carteiras digitais descartadas logo após o pagamento para eliminar rastros.
Segundo a fonte anônima ouvida pelo Valor, o ataque usou o ransomware Sodinokibi, do grupo de hackers REvil, o mesmo que afetou a JBS no início do mês — quando a empresa pagou US$ 11 milhões em bitcoins para destravar operações na Austrália, Canadá e Estados Unidos.
De acordo com o CISO Advisor, nenhum dos 26 grupos de ransomware monitorados pelo site reivindicou a autoria do ataque, mas, em geral, eles não anunciam suas vítimas no mesmo dia do incidente — pois aguardam um prazo de três a sete dias para o pagamento do resgate.
O REvil é um dos grupos cibercriminosos mais lucrativos do mundo e acredita-se que a maioria de seus membros residam na Rússia ou em países que faziam parte da ex-União Soviética. Além da JBS, ele tem em sua lista de vítimas Honeywell, Acer e a Braskem.
Trata-se não apenas de um ransomware, mas de uma plataforma que controla ataques de ransomware. Ele opera como um “ransomware as a service”, que aluga seus serviços e cobra uma porcentagem dos resultados.
Os “afiliados” são as pessoas que distribuem o malware por meio de campanhas de phishing.
O Grupo Fleury, que ontem comunicou estar com seus sistemas indisponíveis por conta de uma “tentativa de ataque externo”, divulgou um novo comunicado para atualizar a imprensa na tarde desta quarta-feira, 23, mas não confirmou o sequestro de dados.
Em nota, a companhia afirmou que a sua base de dados está “íntegra” e que o atendimento em todas as suas unidades ainda segue acontecendo por meio de ação de contingência para garantir a prestação de serviços aos clientes.
“Informamos que estamos com um grupo de profissionais altamente especializados em tecnologia e segurança da informação avançando consistentemente nas soluções para realizarmos uma retomada gradual e segura dos nossos serviços”, comunicou a empresa.
Segundo dados da Fortinet, o Brasil foi alvo de 3,2 bilhões de tentativas de ciberataques no primeiro trimestre de 2021, o que representa o dobro do volume registrado no primeiro trimestre do ano passado.
Confira a nova nota divulgada pelo Grupo Fleury:
Com o objetivo de compartilhar atualização sobre o restabelecimento dos nossos serviços após indisponibilidade decorrente da tentativa de ataque externo aos nossos sistemas, informamos que estamos com um grupo de profissionais altamente especializados em tecnologia e segurança da informação avançando consistentemente nas soluções para realizarmos uma retomada gradual e segura dos nossos serviços.
Vale salientar que nossa base de dados está íntegra e que o atendimento em todas as nossas unidades segue acontecendo ainda por meio de ação de contingência para garantir a prestação de serviços aos nossos clientes, que seguem recebendo nosso foco de atenção.
FONTE: BAGUETE