A subsidiária da Yamaha Motor nas Filipinas foi atingida por um ataque de ransomware no mês passado, resultando no roubo e vazamento de informações pessoais de alguns funcionários. A fabricante de motocicletas está investigando o incidente com a ajuda de especialistas externos em segurança contratados depois que a violação foi detectada pela primeira vez em 25 de outubro.
“Um dos servidores gerenciados por [..] da subsidiária de fabricação e vendas de motocicletas nas Filipinas, Yamaha Motor Philippines, Inc. (YMPH), foi acessada sem autorização por terceiros e atingida por um ataque de ransomware, e um vazamento parcial de informações pessoais dos funcionários armazenadas pela empresa foi confirmado”, disse a Yamaha em um comunicado.
“A YMPH e o centro de TI na sede da Yamaha Motor estabeleceram uma equipe de contramedidas e têm trabalhado para evitar mais danos enquanto investigam o escopo do impacto, etc., e trabalham em uma recuperação junto com a contribuição de uma empresa externa de segurança na internet”, completa a nota.
A Yamaha disse que os operadores da ameaça violaram um único servidor na Yamaha Motor Philippines e que o ataque não afetou a sede ou quaisquer outras subsidiárias dentro do grupo Yamaha Motor. A empresa disse ter relatado o incidente às autoridades filipinas e está atualmente trabalhando para avaliar toda a extensão do impacto do ataque.
Embora a empresa ainda não tenha atribuído o ataque a um grupo hacker específico, a gangue INC Ransom assumiu a autoria do ataque e vazou o que afirma ser dados roubados da rede da Yamaha Motor Philippines.
Os operadores da ameaça adicionaram a empresa ao seu site de vazamento na dark web na quarta-feira, 15, e desde então publicou vários arquivos com cerca de 37 gigabytes (GB) de dados supostamente roubados contendo informações de identificação de funcionários, arquivos de backup e informações corporativas e de vendas, entre outros.
O INC Ransom surgiu em agosto deste ano e tem como alvo organizações de vários setores, como saúde, educação e governo, em ataques de dupla extorsão. Desde então, o grupo adicionou 30 vítimas ao seu site de vazamento. No entanto, o número de organizações violadas é provavelmente maior, já que apenas aquelas que se recusam a pagar o resgate enfrentam a divulgação pública e subsequentes vazamentos de dados.
Veja isso
Ransom Cartel é vinculado ao grupo REvil com sede na Rússia
Principal elétrica de Ghana atingida por ransomware
Os operadores da ameaça obtêm acesso às redes dos alvos por meio de e-mails de spearphishing, mas também foram observados usando uma vulnerabilidade (CVE-2023-3519) no Citrix NetScaler, de acordo com a SentinelOne.
Depois de obter acesso, os hackers se movem lateralmente pela rede, primeiro coletando e baixando arquivos confidenciais para alavancagem de resgate e, em seguida, implantando cargas úteis de ransomware para criptografar sistemas comprometidos. Além disso, os arquivos inc-readme.txt e inc-readme.html são descartados automaticamente dentro de cada pasta com arquivos criptografados.
As vítimas recebem um ultimato com prazo de 72 horas para entrarem em contato com os operadores da ameaça para negociações, pois do contrário ameaçam divulgar publicamente todos os dados roubados no blog de vazamento do grupo.
Aqueles que cumprem com o pedido de resgate também recebem garantias de que serão ajudados a descriptografar seus arquivos. Além disso, os invasores se comprometem a fornecer detalhes sobre o método de ataque inicial, orientação sobre como proteger suas redes, evidências de destruição de dados e uma “garantia” de que não serão atacados novamente pelos operadores do INC Ransom.
Confira o comunicado da Yamaha, em inglês, sobre o ciberataque.
