A Johnson Controls International, fornecedora de soluções de automação industrial e predial, sofreu o que é descrito como um ataque massivo de ransomware que criptografou muitos dos dispositivos de TI, incluindo servidores VMware ESXi, impactando as operações da empresa e de suas subsidiárias.
A Johnson Controls é um conglomerado multinacional que desenvolve e fabrica sistemas de controle industrial, equipamentos de segurança, condicionadores de ar e equipamentos de segurança contra incêndio. A empresa emprega 100 mil pessoas por meio de suas operações corporativas e subsidiárias, incluindo York, Tyco, Luxaire, Coleman, Ruskin, Grinnel e Simplex.
O ciberataque foi noticiado em primeira mão pelo site BleepingComputer citando uma fonte que pediu para não se identificada, a qual afirmou que a Johnson Controls sofreu um ataque de ransomware depois de inicialmente ter sido violada em seus escritórios na Ásia. O ataque teria ocorrido no fim da semana passada, o que fez com que a empresa desligasse partes de seus sistemas de TI. Segundo a mesma fonte, a gangue de ransomware exige o pagamento de resgate de US$ 51 milhões para fornecer a chave decodificadora e resgatar os dados roubados.
Desde então, muitas de suas subsidiárias, incluindo York, Simplex e Ruskin, começaram a exibir mensagens de interrupção técnica em páginas de login de sites e portais de clientes. “Estamos enfrentando interrupções de TI que podem limitar alguns aplicativos de clientes, como o Portal do Cliente Simplex”, diz uma mensagem no site da Simplex. “Estamos mitigando ativamente quaisquer impactos potenciais em nossos serviços e permaneceremos em comunicação com os clientes à medida que essas interrupções forem resolvidas.”
Clientes da York, outra subsidiária da Johnson Controls, relatam que estão sendo informados de que os sistemas da empresa estão fora do ar, com alguns afirmando que foram informados de que era devido a um ataque cibernético.
Veja isso
Grupo de ransomware afirma ter roubado 6 mil arquivos da Sony
Hackers invadem servidores SQL para implantar ransomware
Os operadores do ransomware também afirmam ter roubado mais de 27 terabytes (TB) de dados corporativos e criptografado as máquinas virtuais VMWare ESXi da empresa durante o ataque. Nenhum grupo de ransomware assumiu oficialmente a autoria do ataque até agora, mas pesquisadores de segurança dizem que há indícios de que a ação foi realizada pela gangue chamada Dark Angels (veja mais informações abaixo).
A empresa possui uma subsidiária no Brasil, mas ainda não há informações se as operações foram afetadas. A reportagem do CISO Advisor entrou em contato com a Johnson Controls, por meio da assessoria de imprensa da empresa, mas ainda não obteve resposta. Assim que tiver um retorno com posicionamento da empresa, atualizaremos a notícia.
Quem é a gangue de ransomware Dark Angels?
Dark Angels é uma operação de ransomware lançada em maio do ano passado, quando começou a atingir organizações em todo o mundo. Como quase todas as gangues de ransomware operadas por humanos, o grupo viola redes corporativas e depois se espalha lateralmente pela rede. Durante esse tempo, os hackers roubam dados de servidores de arquivos para serem usados em ataques de extorsão dupla.
Quando obtêm acesso ao controlador de domínio do Windows, os operadores da ameaça implantam o ransomware para criptografar todos os dispositivos na rede.
No caso do ataque à Johnson Controls, inicialmente eles usaram encriptadores Windows e VMware ESXi com base no vazamento do código-fonte do ransomware Babuk. No entanto, a equipe de segurança cibernética MalwareHunterTeam, da empresa de mesmo nome, disse ao BleepingComputer que o criptografador Linux usado no ataque à Johnson Controls é o mesmo usado pelo Ragnar Locker desde 2021.
O Dark Angels lançou um site de vazamento de dados em abril chamado Dunghill Leaks que é usado para extorquir suas vítimas, ameaçando vazar dados se um resgate não for pago. O site de extorsão atualmente lista nove vítimas, incluindo Sabre e Sysco, que recentemente divulgaram ataques cibernéticos.