Fabricante Gigabyte é atingida por sequestro digital e tem sistemas fora do ar
Por Felipe Demartini | Editado por Jones Oliveira | 09 de Agosto de 2021 às 16h15
A fabricante de placas-mãe Gigabyte é a mais nova gigante a cair vítima de um ataque de ransomware. A empresa foi vítima de um golpe desse tipo na madrugada da última quarta-feira (04) e permanece, até o momento em que essa reportagem é escrita, com alguns de seus serviços fora do ar, incluindo páginas de suporte online e o site de seus produtos para seu país-sede, Taiwan.
- Cibercriminoso revela como funcionam os sequestros digitais por encomenda
- Vulnerabilidades conhecidas ainda representam maior perigo para as empresas
- 5 mil sites falsos continuam usando a pandemia como isca para roubo de dados
O grupo de sequestro digital RansomEXX, o mesmo responsável pelo ataque ao Superior Tribunal de Justiça (STJ), em 2020, assumiu a autoria do golpe. Agora, os criminosos ameaçam vazar 112 GB de dados confidenciais da Gigabyte, com documentos protegidos relacionados a acordos entre a companhia e outras fabricantes de hardware, incluindo, por exemplo, cronogramas de atualizações de chips da Intel, guias de compatibilidade e análise da AMD e um relatório de programação relacionada a tecnologias da American Megatrends.
O valor do resgate, entretanto, não foi revelado, com os criminosos divulgando uma página pública que solicita aos executivos da Gigabyte que entrem em contato para negociar. É neste espaço, também, que estão os primeiros documentos vazados, todos protegidos por acordos de confidencialidade entre as partes — o volume também incluiria repositórios de códigos da American Megatrends, que trabalha com firmwares e outros sistemas integrados.
A divulgação pública da carta de resgate também traz alguns apontamentos curiosos sobre a atividade do RansomEXX. Os criminosos pedem que apenas responsáveis pela companhia afetada entrem em contato, enviando um arquivo criptografado pelo malware como prova de autenticidade — na sequência, toda a negociação acontecerá por e-mail, enquanto eventuais contatos de pessoas não autorizadas podem causar problemas para as vítimas, com o aumento no valor exigido.
Em comunicado oficial, a Gigabyte confirmou ter sido vítima do ataque, mas disse que apenas um pequeno número de servidores, localizados em Taiwan, foram atingidos. A companhia disse ter detectado a atividade suspeita e desativado sua infraestrutura de forma a evitar disseminação, além de estar trabalhando ao lado das autoridades na investigação do caso. A fabricante, por outro lado, não falou mais sobre o assunto, deixando de comentar sobre uma possível negociação, o vazamento dos documentos ou o fato de alguns sites ainda estarem fora do ar.
Conhecido originalmente como Defray, o grupo criminoso RansomEXX está em atividade desde 2018. Além do STJ, o bando foi responsável por ataques à estatal de telecomunicações do governo do Equador e ao departamento de transportes do estado americano do Texas. Os ataques costumam ser realizados a partir de credenciais roubadas ou vulnerabilidades em sistemas de acesso remoto, com foco em servidores Windows, apesar de existirem casos também em arquitetura Linux. A praga se move lateralmente e busca novos vetores de intrusão antes de realizar o travamento dos arquivos, de forma a aumentar a superfície de ataque e também os dados obtidos, dando maior poder de extorsão aos bandidos.
Fonte: Bleeping Computer