A Johnson Controls International, fornecedora de soluções de automação industrial e predial, disse que o ataque de ransomware do qual foi vítima em setembro de 2023 custou à empresa US$ 27 milhões em despesas e confirmou que os hackers roubaram dados corporativos.
Conforme relatado em primeira mão pelo BleepingComputer, a Johnson Controls sofreu um ataque de ransomware em setembro do ano passado, depois que os escritórios da empresa na Ásia foram inicialmente violados e os invasores se espalharam por sua rede. O ataque forçou a empresa a encerrar grande parte da sua infraestrutura de TI, o que afetou os sistemas voltados para o cliente.
A gangue de ransomware Dark Angels estava por trás do ataque e alegou ter roubado mais de 27 terabytes (TB) de dados confidenciais da Johnson Controls. Os operadores da ameaça então exigiram um resgate de US$ 51 milhões para excluir os dados e fornecer um descriptografador de arquivos.
A empresa reconheceu uma interrupção no serviço e posteriormente atribuiu a causa a um “incidente de segurança cibernética”, mas não forneceu detalhes sobre o tipo de ataque ou a possibilidade de ter causado uma violação de dados. Na ocasião, a reportagem do CISO Advisor entrou em contato com a Johnson Controls, por meio da assessoria de imprensa da empresa, para saber se a sua subsidiária no Brasil havia sido afetada, mas não obteve retorno.
Em um relatório trimestral apresentado na terça-feira, 30 de janeiro, à Comissão de Valores Mobiliários dos EUA (SEC), a Johnson Controls confirmou que o ataque cibernético que sofreu em 23 de setembro de 2023 foi, na verdade, um ataque de ransomware que resultou no roubo de dados. “O incidente de segurança cibernética consistiu em acesso não autorizado, exfiltração de dados e implantação de ransomware por terceiros em uma parte da infraestrutura interna de TI da empresa.”
Veja isso
Johnson Controls é atingida por ataque de ransomware
Johnson Controls adquire empresa de cyber Tempered
Além disso, a empresa afirmou que as despesas associadas à resposta e remediação do ataque cibernético totalizaram US$ 27 milhões. “O impacto no lucro líquido dos três meses encerrados em 31 de dezembro de 2023, de receitas perdidas e diferidas, líquidas de receitas diferidas no final do ano fiscal de 2023 e reconhecidas no primeiro trimestre do ano fiscal de 2024, e despesas durante o trimestre foi de aproximadamente US$ 27 milhões”, diz o documento enviado à Comissão de Valores Mobiliários (SEC) dos EUA.
Para ter acesso ao formulário 10-Q arquivado na SEC pela Johnson Controls, em inglês, clique aqui.