A Sol Oriens, uma fornecedora de tecnologia e serviços para o desenvolvimento de armas nucleares do exército dos Estados Unidos é a mais nova vítima do grupo cibercriminoso REvil, responsável pelo ransomware a JBS ainda este mês. Agora, o grupo afirma ter roubado dados da Sol Oriens e está os leiloando, em sua página na dark web.
- JBS confirma pagamento de R$ 55 milhões pelo resgate dos dados criptografados; Brasil era foco dos cibercriminosos
- Ataque à Colonial Pipeline partiu de senha de VPN vazada na dark web
- FBI acusa grupo REvil de ser o responsável pelo ransomware que atingiu a JBS
De acordo com o BleepingComputer, que teve acesso a essa página na dark web, uma das empresas listadas no leilão de dados roubados pelo grupo é a Sol Oriens, que se descreve como "pequena consultoria de tecnologia com forte potencial para aplicações militares e espaciais [...] Ajudamos o Departamento de Defesa e o Departamento de Organizações de Energia, Empreiteiros Aeroespaciais e Firmas de Tecnologia a realizar programas complexos".
Como prova, o grupo publicou uma captura de tela de um documento furtado da empresa, contendo dados de contratações de funcionários, com informações de pagamentos e um relatório de salário. No entanto, o grupo afirma ter mais documento da empresa, com dados envolvendo negócios e clientes, além do número de seguridade social (equivalente ao CPF brasileiro) de funcionários.
Em resposta a um pedido de comentário da CNBC, a Sol Oriens confirmou, que em maio deste ano, identificou um ataque cibernético em sua rede e que ainda está investigando o caso. O depoimento da empresa foi publicado pelo jornalista Eamon Javers, no Twitter, que diz: "Recentemente, determinamos que um indivíduo não autorizado adquiriu certos documentos de nossos sistemas".
A empresa informou também que esta trabalhando junto com uma empresa terceirizada, especializada em computação forense na investigação do caso. "Assim que a investigação for concluída, temos o compromisso de notificar os indivíduos e entidades cujas informações estejam envolvidas", conclui a empresa no depoimento, veiculado por Javers.
O grupo REvil
Andrew Brandt, pesquisador de segurança da informação na Sophos, responsável pelo estudo "Relentless REvil, revealed: RaaS as variable as the criminals who use it", explica que o REvil, também conhecido como Sodinokibi, é um grupo cibercriminoso, provavelmente de origem russa, desenvolvedor do ransomware de mesmo nome, que opera no modelo Ransomware as a Service (RaaS), ou seja, desenvolve o malware e o aluga ele para outros cibercriminosos e o lucro do resgate é dividido entre ambas as partes.
“Para um ransomware comum, que existe há alguns anos, o REvil/Sodinokibi consegue causar danos consideráveis e exigir pagamentos de resgate de milhões de dólares. Seu sucesso se deve, em parte, ao fato de que, assim como uma oferta de ransomware como serviço, cada ataque é diferente. Isso torna difícil para os defensores saberem os sinais de alerta que devem ser observados", explica o pesquisador em um comunicado à imprensa.
Para Brandt, os cibercriminosos que escolherem trabalhar com o malware desenvolvido pelo grupo REvil podem ser muito ativos e persistentes. "Em um recente ataque REvil investigado pela Sophos, os dados coletados de um servidor comprometido mostraram aproximadamente 35 mil tentativas de login com falha ocorridas em um período de cinco minutos, originadas de 349 endereços de IP diferentes, espalhados pelo mundo todo", explica.
O grupo REvil tem causado terror ao mercado corporativo, desde que foi identificado pela primeira vez. Em março deste ano, o grupo foi responsável pelo ransomware que atingiu o Tribunal de Justiça do Rio Grande do Sul (TJ-RS) e a fabricante estadunidense de equipamentos de som, Bose.
Em abril deste ano foi a vez da Gigaset, uma fabricante alemã de smartphones e da Quanta, uma das maiores montadora de notebooks do mundo, além de principais parceiras da Apple na montagem de Macs.
Em março deste ano, a Acer, notória fabricante taiwanesa de computadores e monitores também foi comprometida pelo ransomware desenvolvido pelo REvil.
Em junho deste ano, a JBS, que tem sede em São Paulo (SP) e também pegou pelo resgate, gerando U$ 11 milhões (cerca de R$ 55 milhões da empresa) para os cibercriminosos.
Já no ano passado, o REvil atingiu a companhia carioca de distribuição de energia elétrica, Light, no dia 16 de junho de 2020.
Fontes: BleepingComputer; Sol Oriens (LinkedIn); Eamon Javers; Sophos.