Empresas espanholas sofrem ataque de ransomware

Por Wellington Botelho

A imprensa internacional divulgou que pelo menos duas grandes empresas na Espanha foram vítimas, no mesmo dia, de um ataque de ransomware (restringe o acesso ao sistema da empresa e exige o pagamento de um resgate para remover a restrição). A primeira foi a Everis, consultora de TI do Grupo NTT Data, e a segunda foi a Cadena SER, rádio mais importante da Espanha que pertence ao grupo PRISA Radio, de acordo com informações do site ESET.

Embora essas duas organizações tenham confirmado oficialmente o ataque de ransomware na segunda-feira, aparentemente se trata de campanhas diferentes que não estariam relacionadas, explica Camilo Gutiérrez, chefe do Laboratório de Pesquisa da ESET na América Latina.

De acordo com os portais BleepingComputer e Zdnet, depois da divulgação de imagens da mensagem apresentada pelo ransomware nos computadores infectados, seria possível dizer que supostamente se trata do ransomware BitPaymer, um código malicioso que foi descoberto recentemente e que explorou uma vulnerabilidade zero-day nos softwares iCloud e iTunes da Apple.

Um comunicado interno da Prisa Radio, enviado na madrugada de 4 de novembro, explicou que um vírus afetou seus sistemas e que, por isso, seria necessário desconectá-los completamente para evitar que a ameaça pudesse se propagar, explica o jornal El Confidencial. Enquanto isso, “a transmissão da rádio Cadena SER ficou centralizada na Radio Madrid, cancelando as transmissões locais e regionais, exceto aquelas que foram expressamente autorizadas pela Direção da Rádio”, acrescentou o jornal.

A consultora Everis emitiu um comunicado interno semelhante solicitando que os computadores fossem desligados, desconectando a rede com os clientes e entre escritórios, e solicitando que a mesma mensagem fosse comunicada ao resto das equipes e colegas devido a problemas de comunicação.

Além disso, o Departamento de Segurança Nacional de Espanha emitiu um comunicado garantindo que, seguindo o protocolo estabelecido nos casos de ciberataques, a rádio Cadena SER desconectou seus sistemas operacionais e já estão trabalhando para voltar a normalidade.

O Instituto Nacional de Cibersegurança (INCIBE-CERT) garante que estão trabalhando em conjunto com as empresas afetadas para a mitigação do incidente.

No caso do ransomware que afectou a Everis, uma imagem da mensagem deixada pelos cibercriminosos, com os passos que as vítimas do ataque devem seguir, inclui dois endereços de e-mail, permitindo que os usuários atacados possam se comunicar com os criminosos caso queiram recuperar os arquivos sequestrados.

De acordo com o que Bernardo Quintero, fundador do VirusTotal, explicou por meio de sua conta no Twitter, depois de analisar a versão que aparentemente afetou a consultoria Everis, esta família de ransomware BitPaymer/iEncrypt existe há pelo menos três anos e tem sido utilizada em várias ocasiões para ataques direcionados contra empresas, principalmente contra grandes alvos.

Em uma sequência no Twitter, Quintero explica que casos semelhantes a esses ataques a empresas espanholas ocorreram em países como Alemanha, Canadá, Reino Unido ou Estados Unidos, “com variantes criadas para a ocasião”, comenta. Por outro lado, o especialista acrescenta que não é o típico ransomware que infecta e inicia a criptografia, mas que antes de executar o payload pode levar vários dias para estudar a rede interna em sua ânsia de infectar o maior número possível de sistemas.

Embora os casos de ransomware tenham diminuído em comparação com, por exemplo, 2017, ainda é uma ameaça ativa e perigosa, que aparentemente está deixando de ser usada de forma massiva para ataques direcionados.

Com informações da ESET

LEIA TAMBÉM:

Conteúdo Patrocinado
Loading...
Revisa el siguiente artículo