Um relatório da empresa de segurança SecurityScorecard publicado ontem indica que o incidente cibernético causado pelo ransomware REvil atingiu também a JBS Brasil, além da JBS Austrália e JBS USA. Segundo o relatório, foram descobertas credenciais vazadas, pertencentes a funcionários da JBS Austrália, no início de março de 2021. Essas credenciais apareceram pouco antes do início da exfiltração de dados. O fato de as credenciais dos funcionários da JBS estarem na dark web confirma que uma violação ocorreu em algum momento em fevereiro de 2021. A extensão das credenciais vazadas descobertas se estende a meia dúzia de funcionários da JBS Austrália como parte de várias listas de vazamentos.
Veja isso
Incidente nas operações da JBS nos EUA e Austrália
REvil mirou JBS Brasil e tem Braskem na lista de vítimas
Segundo o documento, assinado pelo analista Ryan Sherstobitoff, as principais descobertas da investigação foram as seguintes:
- A campanha da JBS começou com uma fase de reconhecimento em fevereiro de 2021, seguida pela exfiltração de dados de 1º de março de 2021 a 29 de maio de 2021; finalmente, os atores da ameaça criptografaram o ambiente em 1º de junho. Foi a primeira vez que se identificou exfiltração de dados neste ataque.
- Há indícios de que o ataque à JBS foi direcionado e conduzido pelo grupo de ransomware REvil. Tanto a JBS Brasil quanto a JBS Austrália foram visadas como parte dessas operações.
- O ataque começou na JBS Austrália como um ponto de exfiltração de dados. Identificamos um domínio da JBS Austrália associado às operações da JBS na Austrália.
- Observamos a exfiltração de dados da JBS Austrália em mais de 45 GB de dados para o site de compartilhamento de arquivos conhecido como Mega.
- A partir daí, descobrimos evidências de mais exfiltração de dados da JBS Brasil para o mesmo serviço de transferência de arquivos Mega usado na Austrália. Isso confirma ainda mais uma conversa clandestina indicando que as operações no Brasil também foram visadas como parte dessa intrusão. A transferência de dados observada ocorreu entre 19 de abril e 25 de maio.
- Observamos exfiltração adicional, com uma potencial perda de dados de 5 TB durante o curso de três meses. A exfiltração de dados ocorreu várias vezes durante este período para o Mega e outros IPs maliciosos conhecidos em Hong Kong que não estão associados à JBS.
- Embora o vetor de intrusão exato seja desconhecido, nossa análise procurou por caminhos potenciais para a intrusão. Normalmente, antes de uma intrusão, há uma fase de reconhecimento para avaliar os possíveis pontos de entrada. Observamos operações de reconhecimento de dados ocorrendo antes da exfiltração real de dados.
- 1 em cada 5 empresas de processamento, produção e distribuição de alimentos do mundo têm uma vulnerabilidade conhecida (ou seja, uma vulnerabilidade e exposição comum ou “CVE”) em seus ativos de Internet expostos. Isso coloca em risco a cadeia de abastecimento alimentar global.
Com informações de agências internacionais