A cervejaria escocesa Arran Brewery parou na quinta-feira passada porque seus computadores foram infectados com ransomware. O resgate exigido pelos sequestradores foi de 9,6 mil Libras ou o equivalente a R$ 51 mil. A empresa perdeu três meses de dados de vendas após o ataque, resultado de falsas mensagens de e-mail contendo anexos infectados de malware enviados a funcionários da empresa.
O diretor administrativo da cervejaria, Gerald Michaluk, disse que o ransomware foi o Dharma Bip, que criptografou e renomeou os arquivos em todos os sistemas afetados, adicionando a eles uma extensão “bip”. Michaluk diz que o ataque foi muito prejudicial porque começou infectando o domain controller (controlador de domínios) do Windows no escritório, usado para autenticar usuários corporativosna rede e fornecer acesso aos recursos. Ele acrescentou que como o domain controller tem o livre acesso a drives em outros servidores, o Dharma Bip pôde criptografar os arquivos sem a necessidade de infectar outras máquinas. Michaluk não sabe ao certo como os invasores obtiveram acesso ao seu controlador de domínio, mas ele suspeita que foi por meio de um ataque de phishing.
Essa suspeita é porque o ataque pareceu ter explorado os canais de contratação de funcionários – e as vagas de emprego são anunciadas no site. Uma dessas vagas era para um posto de assistente de controle de crédito e finanças, preenchido semanas antes. Michaluk contou que “do nada começamos a receber candidatos para o cargo, com emails vindo do mundo inteiro”. O que aconteceu foi que os atacantes pegaram o endereço de e-Mail com a vaga e fizeram spam. “Estávamos recebendo três de quatro e-mails por dia, todos com currículos em anexo”, disse o diretor. O malware estava no currículo anexado.
O diretor da empresa declarou que tinha uma ideia do que fosse ransomware, mas achou que ele só atacaria grandes empresas e que o anti-vírus iria impedir a infecção. A cervejaria contratou um consultor de TI para revisar suas práticas de segurança da informação e ajudar a restaurar os sistemas.
O problema é que a criptografia também pegou vários backups da empresa. Como o valor pedido era maior do que o valor dos dados, e como não o pagamento também não garantia a restauração dos arquivos, a empresa decidiu não pagar o resgate. Então foi decidido restaurar os backups restantes, que tinham sido feitos em Junho. O diretor disse que espera um dia restaurar os dados, já que a Kaspersky Lab desenvolveu uma ferramenta de descriptografia para versões anteriores do Dharma.
