EDP ainda não comunicou oficialmente ao mercado europeu o incidente ocorrido segunda feira na controlada EDP Distribuição – provavelmente porque ainda está examinando o assunto, e eventualmente poderá até não comunicar
Os cibercriminosos que invadiram e criptografaram servidores na rede da Energias de Portugal Distribuição, na noite de segunda-feira dia 13 de Março, estão tentando entrar em contato com a empresa e assim abrir negociações para receber dinheiro em troca da chave que decodificará os dados. Pesquisadores da MalwareHunter que tiveram acesso à área de ‘suporte’ dos criminosos informaram que até agora não houve qualquer diálogo entre eles e representantes da empresa.
Ao mesmo tempo, a EDP não fez qualquer comunicado ao mercado sobre o incidente. Tal como a Travelex, da Inglaterra, que acabou pagando US$ 2,3 milhões depois que sua rede foi também criptografada em 31 de Dezembro de 2019. Os atacantes estão exigindo 1580 bitcoins da EDP, equivalentes a 10 milhões de Euros.
Informações obtidas pela mídia portuguesa indicam que os cibercriminosos conseguiram exfiltrar da EDP informações acumuladas nos últimos 20 anos. Além de senhas de uso de funcionários, teriam vazado dados sobre contas, projetos, recursos humanos, controles interno sobre a produção de eletricidade e até sobre a EDP Comercial, filial do grupo que lida diretamente com os clientes. Em uma das imagens de diretórios publicadas como prova da invasão está um arquivo intitulado ‘edpradmin2.kdb’, que pode ser um do administrador de senhas KeePass. De acordo com o site BleepingComputer, a base de dados obtida no ataque inclui os nomes de logins, as palavras-passe, as contas, os URL e notas dos empregados da EDP.
Veja isso
EDP atingida por ransomware, resgate pedido é de 1580 BTC
Brechas da Citrix podem ser alvos de ransomware
Segundo análise de especialistas da MalwareHunter, os atacantes provavelmente conseguiram o acesso aos servidores meses atrás e só na segunda-feira executaram o ransomware. Uma amostra do código examinada pelos pesquisadores indica que ele nunca é executado nas repúblicas ‘pós-soviéticas’, como Ucrânia e Azerbaijão, por exemplo – podendo indicar que os cibercriminosos preferem proteger esses países.
Apesar de o código do ransomware supostamente indicar sua origem nas vizinhanças da Rússia, o ataque também foi reivindicado pela rede européia de hackers Cyberteam, que inclui um hacker português. O grupo ameaça fazer um ataque de grande escala às empresas de Portugal no dia 25 de abril, quando se comemora a Revolução dos Cravos.
Com agências internacionais
