Ataque cibernético à rede da Cemig foi feito pelo Kitty Ransomware

Aparentemente a empresa decidiu restaurar seus sistemas sem negociar o pagamento resgate com os cibercriminosos
Paulo Brito
27/12/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Foi o Kitty Ransomware que atacou a rede da Cemig na noite do dia 25 de dezembro, sexta-feira passada, deixando inoperantes os serviços oferecidos online pela empresa (os serviços foram restabelecidos no dia 28 de dezembro). Os operadores do ransomware deixaram num arquivo de texto um endereço da dark web por onde poderiam se comunicar com a Cemig.

A tela de boas vindas desse endereço, escrita em mau inglês, diz apenas “Você foi atacado pelo Kitty ransomware. Todos os seus documentos, fotos, databases e outros arquivos importantes foram criptografados. O único modo de decodificá-los é recebendo o programa de decodificação.
Para detalhes fale com o suporte no chat”.

Veja isso
Cemig: ataque de ransomware derruba sites e atendimento
Venda de credenciais corporativas na dark web cresce 429% neste ano

O chat aparentemente tem um endereço para cada vítima, já que foi iniciado identificando a Cemig: “Olá CEMIG, eu ajudarei você a recuperar seus arquivos, digite a primeira mensagem aqui para iniciar”. A pessoa que digitou em nome da Cemig começou dizendo “não, [motherfucker]”, em seguida digitou a palavra “hello” quatro vezes, depois “tks”, “hi” e a resposta dos cibercriminosos foi “Olá, apresente-se e diga o que você quer”.

A comunicação terminou aí. Aparentemente, a decisão da empresa foi recorrer ao backup e não negociar pagamento de resgate com os cibercriminosos.

Kitty é da mesma família que o ransomware Scarab. Após sua infiltração, criptografa a maioria dos arquivos e os renomeia acrescentando a extensão ” .kitty ” (por exemplo, “cabo-frio.jpg” é renomeado para “cabo-frio.jpg.kitty”). Além de criptografar arquivos, o Kitty gera um arquivo de texto (” HOW-TO-RESTORE-FILES.txt “) e coloca uma cópia em cada pasta.

Esse arquivo de texto do Kitty contém uma mensagem informando que os dados são criptografados com RSA-1024. Este é um algoritmo de criptografia assimétrica, que gera uma criptografia única (pública) e uma chave de descriptografia (privada) para cada vítima. Os cibercriminosos armazenam essas chaves em um servidor remoto e chantageiam as vítimas para que paguem pela chave. As vítimas podem enviar um arquivo, que é restaurado e devolvido como uma prova de que a chave existe.

Não existem ainda ferramentas capazes de quebrar a criptografia do Kitty.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest