Shell é atingida por onda de ataques contra grandes empresas do mundo
Por Felipe Demartini | Editado por Wallace Moté | 16 de Junho de 2023 às 16h04
A Shell é a mais nova empresa a se unir à crescente lista de corporações atingidas por uma onda de ataques de sequestro de dados que começou no final de maio. Dados de um pequeno número de funcionários e clientes de suas operações globais teriam sido obtidos pelos criminosos, que estariam exigindo resgate para não liberar as informações publicamente.
- Onda de golpes de ransomware atingiu 10 empresas brasileiras
- 5 dicas para empresas se protegerem de vazamentos de dados
A multinacional do setor de combustíveis é a mais recente adição a uma relação que já conta com mais de 200 corporações de todos os portes, todas vítimas de ataques de uma mesma quadrilha. Desde o final do mês passado, a Cl0p vem explorando ativamente uma brecha no protocolo de transferência de arquivos MOVEIt, que vem possibilitando o comprometimento de redes e o furto de arquivos internos.
Outros grandes nomes globais, como BBC e British Airways, também já caíram diante da ação, assim como ramos do próprio governo americano. O total de agências atingidas não foi revelada, mas a CISA (Agência de Cibersegurança e Infraestrutura, na sigla em inglês) fala em “várias”, enquanto o prazo para atualização mandatória do protocolo de transmissão de dados se encerra na próxima semana.
Os impactos dos golpes sobre a operação federal, entretanto, devem ser insignificantes, segundo comunicado oficial. A CISA trabalha ao lado de outras agências do governo para entender os impactos e danos causados pelos golpes, enquanto o atendimento à população e outras operações e trabalhos não teriam sido interrompidos em momento algum como consequência da onda de ataques.
No caso da Shell, também, são poucos detalhes divulgados pela companhia, principalmente em relação ao teor das informações obtidas pelos bandidos. Segundo a empresa, as investigações ainda estão em andamento mas não há indícios de comprometimento dos sistemas centrais de TI; a representação brasileira da petrolífera também informou ao Canaltech que a operação brasileira da companhia não foi afetada pelos ataques.
A Shell foi adicionada à lista de alvos do banco Cl0p nesta quinta-feira (15), junto com outras 11 empresas de médio e pequeno porte. Não há detalhes, também, sobre o valor do resgate pedido às vítimas ou prazos para pagamento, com a ameaça sendo de liberação das informações furtadas caso não haja acerto com os criminosos.
Ameaça global já tem correção disponível
De origem russa, a quadrilha Cl0p ficou conhecida no cenário cibercriminoso como operadores de ransomware, mas na atual onda de ataques, não realizam o travamento dos arquivos das empresas atingidas. Seria uma maneira de agilizar o processo, enquanto os golpes são entregues de forma massiva a servidores MOVEIt desprotegidos em empresas de todo o mundo.
Estados Unidos e Reino Unido seriam os principais territórios em risco, principalmente o primeiro, onde mais de 1.000 servidores sem atualização estariam presentes. O update foi liberado pela desenvolvedora do software, a Progress, no início de junho, mas a demora na aplicação da correção por parte das corporações transforma essa em uma ameaça persistente.
"Tanto criminosos cibernéticos quanto estados-nação estão tirando proveito de vulnerabilidades conhecidas e práticas de higiene digital descuidadas, que deixam as organizações desnecessariamente em risco", explica Amit Yoran, CEO da empresa de cibersegurança Tenable. Ele aponta que o próprio Cl0p tem um histórico de se aproveitar de sistemas de transferência de arquivos, com a nova brecha sendo ouro para os bandidos. "As corporações precisam fechar as brechas em seus aplicativos para evitar se tornarem a próxima vítima."
Enquanto isso, talvez como forma de reduzir o escrutínio das autoridades, o Cl0p afirmou que apagou as informações obtidas do governo americano — e isso valeria, também, a eventuais dados obtidos a partir de administrações públicas de todo o mundo. Hospitais e agências militares também estariam na área de exclusão dos bandidos, que apontam questões éticas para justificar isso.
O grupo também não cumpriu ameaças relacionadas à divulgação de dados. O Cl0p havia dado, originalmente, até o dia 14 de junho para que a primeira leva de empresas atingidas pela onda de ataques realizasse o pagamento, caso contrário, as informações comprometidas viriam à público. Até a manhã desta sexta (16), entretanto, nenhum vazamento do tipo havia ocorrido.
O Brasil, normalmente citado como um alvo costumeiro de ataques de ransomware, não está no centro do cenário de ameaças. De acordo com os sistemas de análise do OpenCTI.BR, somente seis infraestruturas MOVEIt desprotegidas estariam disponíveis no Brasil e, ainda que pertençam a grandes empresas, não existiria risco de uma proliferação generalizada dos golpes em nosso país.