Os ataques de ransomware são um grande negócio. No final de 2021, estima-se que um negócio será alvo de um ataque de ransomware a cada 11 segundos, causando até 20 bilhões de dólares em prejuízos. Os ataques de ransomware não são apenas uma preocupação para organizações como empresas, governos e prestadores de cuidados de saúde – eles também afetam clientes e funcionários, cujos dados são muitas vezes os danos colaterais desses tipos de ataques.
Os ataques de Ransomware são aqueles que usam malware para criptografar os dados e arquivos dos alvos. Eles diferem das campanhas de extorsão, que usam a negação distribuída de serviço (DDoS) para sobrecarregar os alvos com o tráfego com a promessa de parar a sua investida em troca de pagamento.
Embora algumas organizações optem por pagar o resgate, geralmente não é recomendado, pois não há garantia de que o acesso aos sistemas infectados será restaurado e, ao pagar, as vítimas incentivam ainda mais estas formas de ataque cibernético. Muitas empresas não divulgam os ataques de ransomware ou, se o fizerem, não revelarão as exigências dos atacantes.
Aqui, revisamos alguns dos mais recentes ataques de ransomware de 2020, de janeiro a dezembro.
Ataques de ransomware em janeiro de 2020
1. Ataque de ransomware à Travelex
Os Hackers começaram o ano com um ataque à empresa de câmbio Travelex, forçando a empresa a desligar todos os sistemas de informática e a confiar na caneta e no papel. Como resultado, a empresa teve que derrubar seus sites em 30 países.
Um bando de ransomware chamado Sodinokibi (também conhecido como REvil) estava por trás do ataque, exigindo 6 milhões de dólares da Travelex. O bando alegou ter acessado a rede de computadores da empresa seis meses antes, possibilitando o download de 5GB de dados sensíveis de clientes – incluindo datas de nascimento e números de cartão de crédito. A gangue disse que se a Travelex pagasse o resgate, eles apagariam os dados, mas se não o fizessem, o valor de resgate dobraria a cada dois dias. Após sete dias, eles disseram que venderiam os dados a outros criminosos cibernéticos.
A Travelex pagou à quadrilha $2,3 milhões em Bitcoin e restaurou seus sistemas online após duas semanas offline. Em agosto de 2020, a empresa anunciou que iria entrar na administração (o equivalente britânico de entrar no Capítulo 11), culpando uma combinação do ataque de ransomware e o impacto da pandemia de Covid-19.
Outros ataques notáveis deste mês incluíram:
- Os alunos do distrito escolar unificado de Pittsburgh, na Pensilvânia, nos EUA, ficaram sem acesso à internet depois de um ataque de ransomware ter desabilitado os sistemas de rede do distrito durante as pausas festivas.
- Os pacientes de uma clínica médica em Miramar, Flórida, receberam pedidos de ransomware de um criminoso cibernético que ameaçava liberar seus registros médicos particulares, a menos que um ransomware fosse pago.
Ataques de ransomware em fevereiro de 2020
2. Ataque de ransomware do Grupo INA
No Dia dos Namorados, um ataque cibernético aleijou algumas operações comerciais no INA Group, a maior companhia petrolífera da Croácia e a maior cadeia de publicações de abastecimento. O ataque foi uma infecção de ransomware que infectou e depois criptografou alguns dos servidores backend da empresa.
Embora o ataque não tenha afetado a capacidade da empresa de fornecer gás aos clientes, ele impactou sua capacidade de emitir faturas, registrar o uso do cartão de fidelidade, emitir novos vales móveis e permitir que os clientes paguem determinadas contas.
O ataque foi alegadamente causado por uma infecção da variedade do ransomware Clop. Os pesquisadores de segurança consideram a gangue Clop como um "big game ransomware", um termo que se refere a grupos criminosos que visam empresas para infectar suas redes, criptografar dados e exigir resgates extremamente grandes.
Outros ataques notáveis deste mês incluíram:
- A NRC Health, uma empresa de saúde que trabalha com 75% dos 200 maiores hospitais dos EUA, recebeu um ataque. Em resposta, a empresa desligou seus sistemas, incluindo os portais voltados para o cliente, para mitigar a violação dos dados. Os dados armazenados pela empresa incluem salários do pessoal e informações de reembolso de programas como o Medicare.
Ataques de ransomware em março de 2020
3. Ataque de ransomware de software da indústria de comunicações e energia
Em março, foi revelado que a empresa Communications & Power Industries (CPI), sediada na Califórnia, uma grande fabricante de eletrônicos, havia sido atingida por um ataque de ransomware.
A empresa fabrica componentes para dispositivos e equipamentos militares e conta com o Departamento de Defesa dos EUA entre seus clientes. O ataque de ransomware ocorreu quando um administrador de domínio na empresa clicou em um link malicioso que acionou um malware criptografado em arquivos. Como milhares de computadores na rede estavam no mesmo domínio, não segmentado, o ransomware espalhou-se rapidamente por todos os escritórios da CPI, incluindo os seus backups no local.
A empresa pagou 500.000 dólares em resposta ao ataque. Não se sabe que tipo de ransomware estava envolvido.
Outros ataques notáveis deste mês incluíram:
- No Reino Unido, o Hammersmith Medical Centre, sediado em Londres, foi atacado pelo grupo Maze Ransomware. O Centro Médico realiza os primeiros ensaios clínicos de medicamentos e vacinas. O ataque veio apenas dias depois que o grupo Maze Ransomware prometeu não atacar organizações de pesquisa médica durante a pandemia de Covid-19. Depois que o Centro se recusou a pagar o resgate, o grupo divulgou os dados pessoais de milhares de antigos pacientes. O diretor do Centro, Malcolm Boyce, foi citado na mídia dizendo que preferia sair do negócio a pagar o resgate.
Ataques de ransomware em abril de 2020
4. Ataque de ransomware à Energias de Portugal
Em abril, foi noticiado que a gigante energética portuguesa Energias de Portugal (EDP) tinha sido vítima de um ataque. Os criminosos cibernéticos que usavam o Ragnar Locker criptografaram os sistemas da empresa e exigiram um ransomware de quase 10 milhões de dólares.
Os atacantes alegaram ter roubado mais de 10 TB de dados sensíveis da empresa, os quais ameaçaram vazar a menos que o ransomware fosse pago. Os hackers postaram screengrabs de alguns dados sensíveis em um local de vazamento que supostamente mostravam prova de posse. Os dados supostamente incluíam informações confidenciais sobre faturamento, contratos, transações, clientes e parceiros.
A EDP confirmou a ocorrência de um ataque, mas afirmou não existirem provas de que os dados sensíveis dos clientes tenham sido comprometidos. No entanto, com base no fato de o roubo de dados de clientes poder vir a ser revelado no futuro, a empresa ofereceu aos clientes um ano de proteção de identidade Experian sem qualquer custo.
Outros ataques notáveis deste mês incluíram:
- A Cognizant, uma empresa da lista Fortune 500 que fornece serviços de TI a empresas de vários setores, revelou que foram alvo de um ataque de ransomware. O ataque afetou os seus sistemas internos e envolveu a eliminação do seu diretório interno, perturbando os serviços prestados aos seus clientes. Em seu relatório de resultados do segundo trimestre de 2020, no final de julho, a Cognizant disse que a receita em seus segmentos de negócios caiu 3,4% para US$ 4 bilhões de dólares. Isto foi devido, em parte, ao ataque de ransomware de abril.
Ataques de ransomware em maio de 2020
5. Ataque de ransomware à Grubman Shire Meiselas & Sacks
Em maio, Grubman Shire Meiselas & Sacks, um escritório de advocacia sediado em Nova York com uma série de clientes famosos, incluindo Madonna, Elton John e Robert DeNiro, foi vítima do ransomware REVil.
Os criminosos cibernéticos alegaram o uso dos ransomwares REvil ou Sodinokobi para roubar dados pessoais, incluindo contratos de clientes, números de telefone, endereços de e-mail, correspondência pessoal e acordos de sigilo. Os atacantes ameaçaram divulgar os dados em nove lançamentos escalonados, a menos que fossem pagos resgates que totalizassem 21 milhões de dólares. Esta exigência foi duplicada para 42 milhões de dólares quando a firma de advogados se recusou a pagar.
As celebridades afetadas pelo ataque foram Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey e Mary J. Blige. A firma de advogados disse que não negociaria com os atacantes e chamou o FBI para investigar.
Outros ataques notáveis deste mês incluíram:
- A Michigan State University foi atingida com o ransomware NetWalker. O NetWalker, também conhecido como Mailto, é uma cepa de ransomware que fez sua estréia criminal em agosto de 2019. Em sua demanda, os operadores de ransomware disseram que a universidade tinha uma semana para pagar um ransomware em troca do acesso aos seus arquivos criptografados. Caso contrário, os atacantes disseram que vazariam os dados pessoais e bancários dos alunos da MSU. A universidade optou por não pagar o resgate, dizendo que eles estavam atentos aos conselhos das autoridades policiais.
Ataques de ransomware em junho de 2020
6. Ataque de ransomware à Honda
Em junho, a gigante automotiva Honda sofreu um ataque de ransomware da Snake (também conhecida como Ekans) que atingiu seus escritórios nos EUA, Europa e Japão. Uma vez descoberto o ataque, a Honda pôs a produção em espera em certos locais para lidar com a interrupção da sua rede de computadores. Os hackers usaram o ransomware para acessar e criptografar um servidor interno da Honda e exigir ransomware em troca de dar a chave de criptografia. Honda disse mais tarde que os atacantes não tinham apresentado qualquer evidência de perda de informações pessoalmente identificáveis.
Outros ataques notáveis deste mês incluíram:
- O Columbia College Chicago foi alvo da gangue de ransomware NetWalker, que ameaçou vender os dados dos alunos na dark webse nenhum pagamento fosse feito no prazo de seis dias. O Columbia College reconheceu que as informações pessoais de alguns usuários foram acessadas no ataque, mas não está claro se eles decidiram pagar o resgate ou negociar com os atacantes.
Ataques de ransomware em julho de 2020
7. Ataque de ransomware Orange
Em julho, a empresa francesa de telecomunicações e a quarta maior operadora de telefonia celular da Europa, a Orange, foi vítima do ransomware Nefilim. A divisão de serviços comerciais da empresa foi violada e a Orange foi adicionada ao site Nefilim da dark web, que detalha vazamentos corporativos em15 dejulho. Amostras de dados que o grupo Nefilim diz terem sido extraídas de clientes da Orange foram incluídas em um arquivo de 339MB.
Nefilim é um operador de ransomware relativamente novo, descoberto em 2020. Orange disse que os dados de cerca de 20 clientes de nível empresarial dentro da sua divisão de serviços empresariais foram afetados.
Outros ataques notáveis deste mês incluíram:
- A cidade de Lafayette, no Colorado, anunciou em agostoque pagou $45.000 dólares aos operadores de ransomware após seus dispositivos e dados terem sido criptografados via ransomware. O pagamento foi feito para receber uma chave de descriptografia depois que a cidade não conseguiu restaurar os sistemas a partir de seus backups. Eles optaram por pagar o resgate para minimizar as longas interrupções de serviço para os residentes. Embora eles não tenham especificado o tipo de resgate envolvido, a administração da cidade informou que a falta de energia foi causada por um ataque de ransomware, que desativou os sistemas da rede de energia elétrica da cidade. Isto teve impacto em tudo, desde sistemas de pagamento online até serviços de e-mail e telefone. Acredita-se que a causa do ataque foi um esquema de phishing ou um potencial ataque de força bruta.
Ataques de ransomware em agosto de 2020
8. Ataque de ransomware à Universidade de Utah
Em agosto, foi divulgado que a Universidade de Utah havia pago um resgate de US$457.000 dólares a criminosos cibernéticos para evitar que eles liberassem arquivos confidenciais roubados durante um ataque de ransomware. O ataque criptografou servidores na Faculdade de Ciências Sociais e Comportamentais da universidade. Como parte do ataque, os criminosos roubaram dados não criptografados antes de criptografar os computadores.
Como os dados roubados continham informações de estudantes e funcionários, a universidade decidiu pagar o resgate para evitar a divulgação dos mesmos. Também aconselhou todos os alunos e funcionários da faculdade afetada a monitorar seu histórico de crédito por atividades fraudulentas e a alterar quaisquer senhas que utilizem on-line.
Outros ataques notáveis deste mês incluíram:
- A R1 RCM Inc.sofreu um ataque de ransomware. A empresa, antiga Accretive Health Inc., é uma das maiores empresas de cobrança de dívidas médicas dos EUA. Eles fazem contratos com mais de 750 organizações de saúde dos EUA e lidam com os dados pessoais e relacionados à saúde de dezenas de milhões de pacientes. R1 RCM Inc. optou por não divulgar detalhes sobre o compromisso, incluindo quais sistemas ou dados podem ter sido afetados. No entanto, foi relatado que o ataque usou o ransomware Defray – que é um tipo de ransomware direcionado, tipicamente espalhado através de e-mails de phishing.
Ataques de ransomware em setembro de 2020
9. Ataque do ransomware à K-Electric
Em setembro, a K-Electric, a única distribuidora de energia elétrica de Karachi, no Paquistão, foi alegadamente o alvo de um ataque de ransomware Netwalker. Isto levou a uma interrupção do faturamento e dos serviços on-line da companhia de energia.
Os operadores de ransomware exigiram que a K-Electric pagasse US$ 3,85 milhões de dólares, avisando que se o pagamento não fosse efetuado em sete dias, a demanda aumentaria para US$ 7,7 milhões de dólares. Netwalker lançou um arquivo de 8,5GB de arquivos alegadamente roubados durante o ataque, incluindo dados financeiros e detalhes de clientes.
A Netwalker teve como alvo os escritórios de imigração da Argentina, várias agências do governo dos EUA e a Universidade da Califórnia, em São Francisco (que pagou mais de 1 milhão de dólares em resgate).
A K-Electric reconheceu que tinha ocorrido um incidente cibernético, mas disse que todos os serviços críticos ao cliente estavam totalmente funcionais.
Outros ataques notáveis deste mês incluíram:
- O quarto Tribunal Distrital da Louisiana teve seu website invadido, e documentos sensíveis foram publicados online após um ataque de ransomware. O agente do ataque foi o Conti, uma cepa relativamente nova do ransomware. Documentos publicados pelos hackers em seu site dark net relacionados a testemunhas, jurados e réus em processos em andamento.
Ataques de ransomware em outubro de 2020
10. Ataque de ransomware à Press Trust, da Índia
Em outubro, hackers invadiram os servidores da agência de notícias Press Trust of India (PTI), paralisando seus serviços por horas. Um porta-voz da empresa descreveu o incidente como um ataque de ransomware maciço, que perturbou as operações e a publicação de notícias aos seus assinantes em toda a Índia.
O ransomware foi identificado como LockBit, software malicioso concebido para bloquear o acesso dos usuários aos sistemas de informática em troca do pagamento de um resgate.
Outros ataques notáveis deste mês incluíram:
- A Software AG, uma das maiores empresas de software do mundo, sofreu um ataque da gangue de ransomware Clop, que exigiu mais de 20 milhões de dólares. Após o fracasso das negociações, a quadrilha publicou capturas de tela dos dados da empresa na dark web, mostrando imagens de passaportes e identidades dos funcionários, e-mails, documentos financeiros e diretórios da rede interna da empresa.
Ataques de ransomware em novembro de 2020
11. Ataque de ransomware do Superior Tribunal de Justiça do Brasil
Em novembro, a infraestrutura cibernética do Superior Tribunal de Justiça brasileiro sofreu um ataque de ransomware massivo, o que forçou seu site a ficar offline.
Os criminosos do ataque de ransomware afirmaram que toda a base de dados do Tribunal tinha sido criptografada e que quaisquer tentativas de restauro seriam em vão. Os hackers deixaram uma nota de resgate pedindo ao Tribunal que os contatasse através de um endereço do ProtonMail. Os hackers também tentaram atacar vários outros sites relacionados com o governo brasileiro.
Outros ataques notáveis deste mês incluíram:
- O clube de futebol Manchester United fez manchetes quando foi revelado que eles tinham sofrido um ataque cibernético. Mais tarde confirmado como um ransomware, o clube revelou que embora o ataque fosse sofisticado, eles tinham protocolos e procedimentos extensos de segurança em vigor, o que significa que eles estavam preparados. Eles mantêm as defesas cibernéticas identificadas no ataque e desligam os sistemas afetados para conter os danos e proteger os dados.
Ataques de ransomware em dezembro de 2020
12. Ataque de ransomware à GenRx Pharmacy
Em dezembro, a Farmácia GenRx, uma organização de saúde baseada no Arizona, alertou centenas de milhares de pacientes sobre uma possível violação de dados após um ataque de ransomware no início do ano. A empresa disse que os hackers maliciosos foram capazes de remover uma série de arquivos, incluindo informações de saúde que a farmácia usava para processar e enviar os produtos prescritos aos pacientes.
Outros ataques notáveis deste mês incluíram:
- O gigante dos aparelhos domésticos Whirlpool sofreu um ataque de ransomware pela gangue Netfilim, que roubou dados antes de criptografar seus aparelhos. Os hackers publicaram posteriormente os dados roubados, que incluíam documentos relacionados com os benefícios dos empregados, pedidos de informação médica e checagem de antecedentes.
Os ataques de ransomware recentes estão se tornando mais seletivos sobre quem atacar e quanto exigir. A Kaspersky Anti-Ransomware Tool oferece proteção tanto para casa quanto para os negócios. Como em qualquer ameaça à segurança cibernética, a chave para a proteção é a vigilância.
Artigos relacionados:
- Quais são os diferentes tipos de ransomware?
- Os piores ataques de ransomware
- Como prevenir ataques de ransomware
- Roubo de dados e perda de dados
Produtos relacionados: