Ao que tudo indica, terá sido utilizado o ransomware RagnarLocker no ataque à EDP, tendo alegadamente sido roubados 10TB de informação dos servidores da empresa
|
Nesta segunda-feira, a EDP sofreu um ciberataque onde terão sido roubados 10TB de informação dos servidores da elétrica nacional. Em comunicado, a EDP confirmou que foi alvo de um ataque informático que “está a condicionar o normal funcionamento de uma parte dos seus serviços e operações”, mas que não teve impacto na “continuidade do fornecimento de energia”. Os hackers afirmam que roubaram mais de 10TB de ficheiros sensíveis da empresa e, alegadamente, ameaçam publicar todos os dados a menos que o resgate, que tem um valor perto dos dez milhões de euros, não seja pago. Os orquestradores da ação publicaram uma nota onde se pode ler que “fizemos o download de mais de 10TB de informação privada dos servidores do grupo EDP. Abaixo estão apenas alguns ficheiros e screenshots da vossa rede apenas como prova de posse! Atualmente, esta publicação é temporária, mas pode tornar-se numa página permanente e também vamos publicar este leak em jornais enormes e famosos e blogs, e também vamos notificar os vossos clientes, parceiros e concorrentes. Assim, depende de vocês tornar [a informação] confidencial ou pública!” Em declarações à IT Insight, o Centro Nacional de Cibersegurança (CNCS) diz que "não tem conhecimento de qualquer tipo de resgate solicitado" no âmbito do ataque e salienta que a "a atuação do CNCS junto do grupo EDP perante este ataque está a ser articulada com as entidades competentes". O Centro Nacional de Cibersegurança indica que "foram de imediato aplicadas medidas de prevenção e proteção dos sistemas que suportam as operações da empresa". "Entre a EDP, o CNCS e as restantes entidades envolvidas estão a ser tomadas as medidas de contenção, análise, resposta, segurança e de reposição dos serviços à sua normalidade", acrescenta a entidade. Entre os ficheiros privados publicados, encontra-se um ficheiro intitulado ‘edpradmin2.kdb’, um gestor de passwords KeePass. De acordo com o site BleepingComputer, a ligação leva para uma base de dados exportada que inclui os nomes de logins, as palavras-passe, as contas, os URL e notas dos empregados da EDP. A MalwareHunterTeam descobriu que foi utilizado o ransomware RagnarLocker. Este ransomware foi detetado em ataques no final de dezembro de 2019 e tem habitualmente como alvo o software utilizado regularmente pelos fornecedores de serviços geridos para prevenir o ataque de ser detetado e bloqueado. De acordo com a BleepingComputer, “após as fases de reconhecimento e pré-implementação, os atacantes colocam um executável de ransomware altamente direcionado que adiciona uma extensão específica aos arquivos criptografados, apresenta uma chave RSA-2048 incorporada e coloca notas de resgate personalizadas”, que incluem o nome da empresa, um link para o site Tor e o site onde serão divulgados os dados da vítima. Segundo a nota publicada nos sistemas da EDP, os atacantes conseguiram ter acesso a informação confidencial relativamente a contratos, transações, clientes e parceiros. Como é habitual, os hackers aconselham a EDP a “não modificar, renomear, copiar ou mover qualquer ficheiro sob pena de os danificar e tornar a desencriptação impossível”, para não “utilizar software de desencriptação público ou de terceiros”, uma vez que também pode danificar os ficheiros, ou, ainda, “desligar ou fazer reset aos sistemas”. Num tweet, a MalwareHunterTeam afirma que, tendo em conta o que é apresentado, é possível que os hackers tenham, de facto, “tido acesso a terabytes de dados”. Em resposta à mesma publicação, a equipa relembra que “entrar na rede de uma empresa é uma coisa, mas conseguir mais de 10TB de dados de uma rede sem ser descoberto é outra”. Numa atualização publicada na quarta-feira, a conta do Twitter da MalwareHunterTeam refere que, como acontece frequentemente, os “atores estiveram na rede da vítima durante algum tempo antes de correr” o ransomware. Apesar de não poderem dizer com certeza há quanto tempo estavam infiltrados na rede, parece existir indícios de que uma quantidade de ficheiros já tinha sido roubada “no dia 6 deste mês” de abril. O CNCS também não confirma a técnica utilizada, uma vez que "o incidente está a ser analisado" e que "não é possível retirar conclusões sobre as técnicas utilizadas".
Notícia atualizada às 08h40 do dia 16 de abril de 2020 com as declarações do Centro Nacional de Cibersegurança. |
Receba todas as novidades na sua caixa de correio!
