O Grupo Moura confirmou hoje ao CISO Advisor ter sofrido um ataque cibernético que atingiu seus servidores. O ataque foi feito pelo grupo cibercriminoso que opera o ransomware DarkSide, o mesmo que na semana passada atingiu o Colonial Pipeline, maior oleoduto dos EUA, e que em fevereiro atingiu a Copel e a Eletrobrás. O DarkSide é na verdade uma plataforma – funciona como um ransomware-as-a-service (RaaS), de mdo que o lucro é compartilhado entre os proprietários da plataforma e os parceiros ou afiliados, que obtêm acesso a organizações e implantam o ransomware.
Em seu site de vazamentos na dark web, os bandidos publicaram o logotipo do Grupo Moura e algumas informações sobre o ataque. Inicialmente informaram que o ataque aconteceu no dia 16 de abril e que foram obtidos dados pessoais de clientes, contratos, acordos, plantas e informações sobre as atividades da empresa, num total de 400GB de arquivos. Os dados começaram a ser publicados no dia 20 de abril, em arquivos zipados de 40GB cada. Só nesse dia foram publicados seis lotes de 40GB; no dia 30 foi publicado mais um lote e no dia 1 de maio outro.
Veja isso
Extorsão dupla: Grupos de ransomware criam sites de vazamento de dados
DarkSide confirmado no ataque a oleoduto
Para ilustrar o dumping do material, os cibercriminosos já publicaram nove imagens das telas de um browser de arquivos, mostrando diretórios no lado esquerdo e amostras de documentos do lado direito. Curiosamente, um dos diretórios tem o nome de um dos diretores da companhia. As telas mostram documentos internos com datas de sete anos atrás e muitos cuja nomenclatura indica serem documentos relacionados a pessoas.
O Grupo Moura enviou a seguinte nota de esclarecimento ao CISO Advisor: “O Grupo Moura confirma que foi vítima de uma ofensiva aos seus servidores internos, o que resultou na divulgação de dados supostamente atribuídos à empresa. Estamos tomando as medidas necessárias para fortalecer todos os protocolos de segurança da informação. Os dados divulgados estão sendo analisados para seguirmos com as medidas cabíveis. Mesmo com o ataque ocorrido, a operação fabril e de distribuição da empresa não sofreu impactos”. Questionado sobre o valor do reesgate pedido, a empresa respondeu que “informar valores exigidos pelos criminosos ou qualquer outra informação adicional poderá comprometer as investigações em curso”.
Surgido pela primeira vez em agosto de 2020, em fóruns de hackers com mensagens em russo, o DarkSide diz que visa apenas grandes empresas e proíbe os “afiliados” de lançar ransomware contra organizações em vários setores, incluindo saúde, serviços funerários, educação, setor público e organizações sem fins lucrativos. Como outras plataformas de ransomware, ele pratica extorsão dupla: um valor para fornecer uma chave digital que desbloqueia todos os arquivos e servidores e um resgate separado em troca da promessa de destruir todos os dados roubados da vítima.
