A Saudi Aramco, uma das maiores produtoras de petróleo e gás natural do mundo, teve seu sistema invadido pela gangue de hackers conhecida como ZeroX, que agora está oferecendo 1 TB de dados pertencentes à empresa para venda em fóruns da dark web, a partir de um valor negociável de US$ 5 milhões.
A gigante petrolífera emprega mais de 66 mil funcionários e tem receita anual de quase US $ 230 bilhões. Ela atribuiu a violação de dados a terceiros contratados e garante que o incidente não teve impacto nas suas operações.
Os operadores do ZeroX afirmam que os dados foram roubados por meio de um hack à rede e aos servidores da Aramco, em algum momento de 2020. Isso leva especialistas a deduzirem que os arquivos de dados não são tão recentes, sendo que alguns datam de 1993, de acordo com o grupo.
O site BleepingComputer que teve contato com o grupo questionou sobre qual método foi usado para obter acesso aos sistemas, mas não obteve explicação sobre a vulnerabilidade. Apenas teve a confirmação de que foi uma “exploração de dia zero”.
Para atrair compradores, os hackers exibiram um pequeno conjunto de amostras de projetos e documentos da Aramco com Informações de identificação pessoal em um fórum de violação de dados em junho. Uma amostra de 1 GB desses arquivos custa US$ 2 mil, que deve ser pagos com o equivalente em criptomoeda Monero.
No momento da postagem inicial, o site do vazamento de dados (.onion) tinha um cronômetro de contagem regressiva definido para 662 horas, ou cerca de 28 dias, após o qual a venda e as negociações começariam.
Veja isso
Colonial retoma operações após ataque de ransomware
Vazamentos de dados neste ano devem superar 2020, diz estudo
O ZeroX disse ao BleepingComputer que a escolha de “662 horas” foi intencional e um “quebra-cabeça” para a Saudi Aramco resolver, mas a razão exata por trás da escolha permanece obscura. O grupo diz que os arquivos de 1 TB incluem documentos pertencentes às refinarias da Saudi Aramco localizadas em várias cidades da Arábia Saudita, incluindo Yanbu, Jazan, Jeddah, Ras Tanura, Riyadh e Dhahran.
Além disso, alguns desses dados incluem informações completas sobre 14.254 funcionários, com nome, foto, cópia do passaporte, e-mail, número de telefone, número de autorização de residência (cartão Iqama), cargo, números de identificação, informações familiares. Os arquivos contêm ainda especificações de projetos para sistemas relacionados a energia, arquitetura, engenharia, civil, gestão de construção, meio ambiente, máquinas, embarcações, telecomunicações, etc., bem como relatórios de análise interna, acordos, cartas, planilhas de preços.
O layout de rede mapeando os endereços IP, pontos Scada, pontos de acesso Wi-Fi, câmeras IP e dispositivos IoT e o mapa de localização e coordenadas precisas também estão no banco de dados violado. Mas o mais crítico é a lista de clientes da Aramco, juntamente com faturas e contratos.