Os operadores do ransomware Clop começaram a publicar dados da empresa alemã Software AG, atingida no dia 3 de outubro por um ataque desse malware. CISO Advisor obteve a informação de que já foram publicados três lotes de informações confidenciais da empresa: o primeiro da área de finanças, com 47.861 arquivos em 19,1 GB de dados publicados para download; o segundo são e-mails extraídos em 1.425.141 arquivos, num volume de 89,5 GB; o terceiro é novamente da área de finanças, com 271.462 arquivos em 120 GB.
A Software AG continua com problemas para operar a sua rede de dados interna, o seu serviço de e-mail e o de relações com investidores. A empresa comunicou o incidente à bolsa de Frankfurt no dia 5 de outubro, uma segunda-feira. O último comunicado sobre o assunto foi feito por ela na quarta-feira desta semana, dia 14, quando colocou três telefones à disposição da mídia para a solicitação de informações.
Veja isso
Software AG confirma ransomware e vazamento de dadosQuer seguir ou entrar na carreira de cibersegurança? A hora é agora
O MalwareHunterTeam compartilhou trechos da nota de resgate enviada pelo Clop à Software AG, que incluía a saudação calorosa, “OLÁ, DEAR SOFTWARE AG”. A nota de resgate continuou de forma mais ameaçadora: “Se você se recusar a cooperar, todos os dados serão publicados para download gratuito em nosso portal …”
O Clop foi notado pela primeira vez em fevereiro de 2019 pelo MalwareHunterTeam, e continua a aterrorizar empresas com a tática de “extorsão dupla”: primeiro ele rouba dados; depois criptografa arquivos em servidores e endpoints; se os pedidos de resgate não forem atendidos, os dados são publicados na dark web. Ele está se diferenciando por buscar empresas de primeira linha, ao vez de distritos escolares e prefeituras, que andaram pagando ransomware com certa facilidade.
O Clop já atingiu outra grande empresa em abril deste ano: a biotech ExecuPharm. Como a empresa se recusou a pagar, os criminosos vazaram os dados comprometidos. Outros grupos de ransomware adotam táticas semelhantes, entre eles o Maze, o DoppelPaymer e o Sodinokibi. No mês passado, os operadores do Maze publicaram todas as informações pessoais de estudantes de Las Vegas, porque o distrito escolar da região de Clark County não pagou o resgate.
Com agências internacionais