Em uma rara demonstração de transparência, a empresa de serviços de engenharia de energia dos EUA BHI Energy detalha como a operação de ransomware Akira violou suas redes e roubou os dados durante o ataque.
A BHI Energy, parte da Westinghouse Electric Company, é uma empresa especializada em serviços de engenharia e soluções de pessoal que apoia unidades privadas e governamentais de geração de petróleo e gás, nuclear, eólica, solar e energia fóssil e instalações de transmissão e distribuição de eletricidade.
Em uma notificação de violação de dados enviada pela BHI Energy às pessoas afetadas, a empresa fornece informações detalhadas sobre como a gangue de ransomware Akira violou sua rede em 30 de maio deste ano.
O ataque começou usando as credenciais VPN roubadas para um contratante terceirizado acessar a rede interna da BGI Energy. “Usando a conta desse terceiro contratante, o TA (agente de ameaças) chegou à rede BHI interna por meio de uma conexão VPN”, diz a notificação de violação de dados. “Na semana seguinte ao acesso inicial, o TA usou a mesma conta comprometida para realizar o reconhecimento da rede interna”, explica a empresa.
Os operadores do Akira revisitaram a rede em 16 de junho, para enumerar dados que seriam roubados. Entre 20 e 29 de junho, os hackers roubaram 767 mil arquivos contendo 690 GB de dados, incluindo o banco de dados do Windows Active Directory da BHI.
Finalmente, em 29 de junho, tendo roubado todos os dados que podiam da rede da BHI, os operadores da ameaça implantaram o ransomware Akira em todos os dispositivos para criptografar arquivos. Foi quando a equipe de TI da BHI percebeu que a empresa havia sido comprometida.
A empresa diz que informou imediatamente as autoridades policiais e se envolveu com especialistas externos para ajudá-los a recuperar os sistemas afetados. O ponto de apoio do ator de ameaças na rede foi removido em 7 de julho.
A BHI diz que conseguiu recuperar dados de uma solução de backup em nuvem que não havia sido afetada pelo ataque de ransomware, então eles foram capazes de restaurar seus sistemas sem pagar um resgate. Além disso, reforçou suas medidas de segurança impondo autenticação multifator no acesso VPN, realizando uma redefinição global de senha, estendendo a implantação de ferramentas EDR e AV para cobrir todas as seções de seu ambiente e descomissionando sistemas legados.
Veja isso
Gangue de ransomware russa viola agência de energia dos EUA
Divisão de energia da Tata atingida em ataque cibernético
Embora a BHI tenha conseguido recuperar seus sistemas, os agentes da ameaça podem roubar dados contendo informações pessoais dos funcionários.
Uma investigação concluída em 1º de setembro de 2023 indica que os seguintes dados foram roubados nome completo, data de nascimento, número do seguro social (SSN) e informações de saúde
Até o momento não há nenhum dado pertencente à BHI vazado algum dado pelo grupo de ransomware Akira em seu portal de extorsão na dark web, nem tampouco avisaram a BHI sobre seus próximos vazamentos.
Para acessar notificação, em inglês, na qual a empresa detalha como foi feita a violação de dados clique aqui.