A Software AG, um dos maiores produtores de software do mundo, sofreu um ataque do ransomware Clop que está prejudicando seus serviços, entre eles suporte ao cliente. A empresa já confirmou que houve também vazamento de dados de servidores e de notebooks de funcionários. Os operadores do Clop estão pedindo um resgate da ordem de US$ 23 milhões. O ataque foi descoberto no sábado da semana passada, dia 3, e discretamente comunicado na última segunda-feira, dia 5, à Bolsa de Frankfurt.
Na manhã desta terça-feira dia 13 de outubro, a empresa continua exibindo um aviso aos clientes dizendo: “Devido a problemas técnicos com nosso sistema de suporte online, pedimos que você nos envie um e-mail com a descrição do problema e um número de retorno (…)”

Neste momento, um operador na dark web está vendendo 19TB de dados de “uma grande empresa europeia” que se supõe seja justamente a Software AG. A Software AG passou a atender os clientes – inclusive suporte – por e-mail, já que as interfaces habituais foram desativadas por causa da contaminação.
Pesquisadores da empresa MalwareHunterTeam afirmaram no último sábado, diz 10, que o Clop aparentemente utilizou um novo recurso – o aplicativo wevtutil.exe para limpar logs de eventos. Eles também observaram que a amostra que atingiu a Software AG verificou a presença de software McAfee e tentou desinstalá-lo, mas não foi possível determinar se os invasores descobriram – de alguma forma – que a Software AG estava usando produtos McAfee e então fizeram essa tentativa, ou se essa funcionalidade já havia sido adicionada ao malware para alvos anteriores.
Veja isso
Braskem é atacada por ransomware e declara ‘força maior’
Banco chileno diz que incidente de ransomware foi erro humano
O site da dark web onde o grupo do Clop vaza dados roubados de vítimas que se recusam a pagar o resgate afirma que a primeira parte dos arquivos roubados será publicada em breve.
Capturas de tela postadas pelos hackers mostram que eles obtiveram dezenas de gigabytes de dados, representando mais de um milhão de arquivos. Eles parecem ter obtido cópias de passaportes, faturas e e-mails.
O ataque à Software AG tem a mesma dimensão do que sofreu a Cognizant em abril deste ano. A Software AG é uma empresa que tem cerca de 10 mil clientes corporativos como Airbus, Telefonica, Vodafone, Fujitsu e DHL por exemplo e opoera com aproximadamente 5 mil funcionários em 70 países. No Brasil, a empresa começou operando diretamente em 2005, conquistando em 2006 a conta do Governo do Estado da Bahia, para modernizar toda a área de segurança pública.
Na última quinta-feira à tarde, a Software AG publicou mais um comunicado ao mercado, confirmando vazamento de dados e que o malware ainda não estava contido. O comunicado diz o seguinte:
Obtida evidência de download de dados devido a ataque de malware
Em 5 de outubro de 2020, a Software AG informou que foi afetada por um ataque de malware. O malware ainda não está totalmente contido e os sistemas da Software AG continuam sendo afetados pelo ataque.
Hoje, a Software AG obteve as primeiras evidências de que os dados foram baixados dos servidores e notebooks dos funcionários da Software AG. Ainda não há indicações de que os serviços aos clientes, inclusive os serviços baseados em nuvem, estejam sendo interrompidos. A empresa está aprimorando continuamente suas operações e processos internos.
A Software AG está investigando ainda mais o incidente e está fazendo tudo ao seu alcance para conter o vazamento de dados e resolver a interrupção em curso de seus sistemas internos, em particular para reiniciar seus sistemas internos o mais rápido possível que foram desligados por razões de segurança.
Este é o comunicado inicial feito ao mercado pela Software AG:
Interrupção de serviços devido a ataque de malware
Darmstadt (pta064 / 05.10.2020 / 21: 48) – A infraestrutura de TI da Software AG foi afetada por um ataque de malware desde a noite de 3 de outubro de 2020. Embora os serviços para seus clientes, incluindo seus serviços baseados em nuvem, permanecem inalterados, como como resultado a Software AG desligou os sistemas internos de maneira controlada, de acordo com os regulamentos de segurança internos da empresa. A empresa está restaurando seus sistemas e dados para retomar a operação ordenada. No entanto, os serviços de helpdesk e a comunicação interna da Software AG ainda estão sendo afetados.
Se necessário, para proteger seus níveis de serviço, a Software AG aprimorará seu sistema de helpdesk provisório. A Software AG não tem conhecimento de nenhuma informação de cliente sendo acessada pelo ataque de malware. A Software AG está investigando o incidente e fazendo tudo ao seu alcance para resolver a interrupção resultante o mais rápido possível.
Darmstadt, 05 de Outubro de 2020
Software AG
A Direção