Os cibercriminosos que operam o ransomware Sodinokibi (também conhecido como Revil) tornaram-se os maiores suspeitos pela contaminação de servidores da Light, distribuidora de energia elétrica que atende principalmente o Estado do Rio de Janeiro. O incidente, confirmado pela empresa no dia 17 de junho passado, deixou o principal site da Light fora do ar. Segundo fontes próximas da companhia a área de TO/TA não foi atingida.
As pistas e suspeitas que relacionam o Sodinokibi ao incidente com a Light foram levantadas por pesquisadores da empresa de segurança AppGate, da Flórida, com base em uma amostra do malware que pode ter sido usado no ataque. “Embora não possamos confirmar que foi exatamente esse o arquivo usado no ataque, as evidências apontam para uma conexão direta com a violação da Light. Como o preço do resgate, por exemplo”, observa um relatório publicado pela AppGate no dia 30 de junho.
Segundo os pesquisadores, alguém de dentro da empresa enviou a amostra para uma sandbox pública, provavelmente na tentativa de entender como o malware funcionava. A análise da configuração do malware revelou informações sobre o agente da ameaça, o ID da campanha e também a URL que a vítima deve acessar para obter instruções.
Veja isso
Light confirma incidente cibernético que prejudicou clientes
Cibercrime organizado acaba de criar cartel e leilões
Neeea página, hospedada na dark web, estão informações para que a vítima conseguisse pagar um resgate de 106.870,19 XMR (Monero) até 19 de junho. O prazo, no entanto, já passou e o montante dobrou, para 215882.8 XMR, que equivale a US$ 14 milhões. O valor não é igual ao noticiado para o resgate dos dados da Light: nesse caso, os atacantes pediam 107.213,96 Moneros, o equivalente a R$ 37 milhões. Os cibercriminosos deram um prazo de dois dias para o pagamento, sob pena de aumentar o valor.
A mesma página da Web revela informações sobre os atacantes, mencionando claramente o nome Sodinokibi, e tenta convencer a vítima a pagar o resgate, prometendo descriptografar completamente os dados afetados.
“Todo o ataque parece muito profissional, a página da web inclui até um suporte por bate-papo, onde a vítima pode falar diretamente com o agressor”, observam os pesquisadores.
Disponível sob o modelo RaaS (Ransomware como serviço), o Sodinokibi é operado por um ator de ameaças provavelmente afiliado ao “Pinchy Spider”, o grupo por trás do ransomware GandCrab.
Com agências internacionais
