Campanha de ransomware focado em empresas paralisou a Honda

Um ataque de ransomware direcionado vem atingindo empresas de todo o mundo e foi responsável por uma paralisação temporária nas atividades da montadora Honda. A companhia japonesa foi atingida no início deste mês e se viu obrigada a interromper a fabricação e envio de veículos, em um golpe semelhante ao que também atingiu a Edesur, a distribuidora de energia elétrica da Argentina.

• Brecha de segurança no iFood expõe dados e pedidos de usuários
• Hackers usam servidores e serviços legítimos para aplicar golpes com Office 365
• Saiba como proteger dados e evitar prejuízos com vazamentos

De acordo com informações da Kaspersky, que revelou mais detalhes sobre a campanha nesta semana, as obras foram de autoria do malware Snake, também conhecido como Ekans (sim, uma referência a Pokémon), que é utilizado em golpes direcionados. Segundo os especialistas, os criminosos responsáveis pelos sequestros de informação programam a praga de forma que ela só entre em ação caso detecte IPs e nomes de domínio que pertençam às redes internas de uma determinada corporação.

Como muito se tem falado, as brechas de segurança se aproveitam do estado irregular de segurança que é fruto da pandemia do novo coronavírus. O Snake se aproveita de vulnerabilidades em sistemas de desktop remoto, que também ganharam presença em um momento de adoção rápida do home office. A partir de tais sistemas, os criminosos obtiveram acesso a sistemas internos e criptografaram arquivos importantes, além de bloquear a utilização das plataformas pelos funcionários da companhia.

O que diferencia a praga, que circula desde dezembro de 2019, de outras com a mesma finalidade é que o Snake, além de possuir direcionamento, também possui características voltadas a manipular sistemas de automação industrial. Na visão de especialistas, se trata de uma das variantes de ransomware mais perigosas em atuação, já que os golpes com alvo e setor específico podem causar grandes danos e interferências, além, claro, de maximizar o potencial de ganho dos hackers, já que pagar o resgate acaba se tornando uma boa opção.

No caso da Honda, por exemplo, foram os setores de serviços ao consumidor e operações financeiras que sofreram o ataque, mas registros de outros casos envolvendo o Snake também envolvem a paralisação de plantas industriais como ação direta do malware. Os especialistas da ReliaQuest, que também analisaram a praga, apontam ainda que os criminosos conhecem quem estão atacando, fixando preços de resgate de acordo com o ramo de atuação e segundo a estimativa de prejuízos financeiros decorrentes da interrupção das atividades — tudo como forma de incentivar um pagamento que, como sabemos, nem mesmo é garantia de liberação.

Um monitoramento dos acessos a desktops remotos e demais interações com os servidores podem ser um bom caminho para detectar golpes não apenas envolvendo o Snake, mas também outros que tentem se explorar das mesmas aberturas. Além disso, os especialistas em segurança indicam o uso de soluções de proteção e controle na infraestrutura, uma vez que elas são capazes de detectar arquivos usados pelo Snake durante a intrusão, e ao serem mantidos atualizados, também serão capazes de lidar com mutações e reprogramações da praga que circula desde dezembro do ano passado.

Reflexos no Brasil

Duas fábricas da Honda no Brasil foram atingidas pelo ataque de ransomware, que aconteceu no dia 7 de junho e cujas causas ainda estão sendo investigadas. De acordo com a montadora, a unidade de Manaus (AM) teve sua operação interrompida temporariamente, enquanto a de Sumaré (SP) também foi atingida, mas sua capacidade não foi reduzida pois a planta já operava de forma restrita devido à pandemia do novo coronavírus. Em ambas, a situação já foi nornalizada.

No comunicado, a Honda afirma que o malware atingiu seus serviços de e-mail, aplicações de negócios e arquivos de servidores, com dificuldades de conexão que impediram o uso. Apesar disso, a empresa confirma que não houve vazamento de dados confidenciais e que os sistemas já estão reestabelecidos, com impactos mínimos sobre os negócios da marca no Brasil.

Fonte: Kaspersky, Dark Reading