Ransomware: a mina de ouro dos hackers, o pesadelo das organizaçõesSites do grupo hacker REvil somem misteriosamente da dark web
Pelo menos é o que aponta o BleepingComputer. De acordo com o veículo, o ataque ocorreu na noite de terça-feira (3) e forçou a empresa a desativar vários de seus sistemas. As consequências foram sentidas por clientes: serviços de suporte ficaram inacessíveis, incluindo páginas de documentação e de acompanhamento de reparos. Embora seja mais conhecida por fabricar placas-mãe e placas de vídeo, a Gigabyte tem um amplo catálogo de produtos, que inclui notebooks, monitores, servidores e acessórios para PCs. A falta de suporte pode, portanto, afetar uma grande quantidade de clientes da empresa.
112 GB de dados sob ameaça
Tão ou mais grave do que deixar clientes desassistidos, o ataque pode expor dados confidenciais. As informações disponíveis até o momento indicam que o RansomExx teria conseguido coletar 112 GB de dados da Gigabyte, incluindo documentos sigilosos oriundos de empresas parceiras, entre elas, Intel, AMD e American Megatrends (AMI). Trata-se da abordagem da extorsão dupla, muito comum nos ataques de ransomwares atuais. Nela, o invasor não só criptografa arquivos da vítima como ameaça divulgar dados capturados durante a invasão para aumentar a pressão pelo pagamento. Nessas circunstâncias, os hackers costumam estabelecer um prazo de alguns dias para o resgaste ser pago e ameaçam divulgar os dados na internet (normalmente, na dark web) se a data limite não for respeitada. Para provar que dados sigilosos foram acessados, grupos de ransomwares também costumam divulgar amostras. É o caso aqui. O BleepingComputer afirma ter tido acesso a imagens de quatro documentos da Gigabyte supostamente capturados pelo RansomExx. O grupo costuma inserir notas sobre o resgate em cada computador da vítima afetado por seu ransomware. No caso da Gigabyte, as notas dão instruções para que um membro da equipe de TI da companhia entre em contato com os invasores para tratar do resgate, embora o valor requisitado não tenha sido divulgado. Autoridades e especialistas em segurança recomendam que, em ataques de ransomware, o resgate nunca seja pago, pois isso estimula esse tipo de ação e, mesmo com o pagamento, não há garantias de recuperação de arquivos. Mas essa sempre é uma decisão que cabe à vítima. Não está claro se a Gigabyte tem negociado com os membros do RansomExx, porém. Se tem, as negociações podem não estar avançando, pois alguns serviços da empresa continuam indisponíveis ou instáveis. A página esupport.gigabyte.com, por exemplo, estava offline na manhã desta segunda-feira (9).
RansomExx já fez vítimas no Brasil
O RansomExx iniciou as suas atividades em 2018, quando se chamava Defray. Em junho de 2020, o grupo assumiu o nome atual e, desde então, vem intensificando seus ataques em várias partes do mundo. No Brasil, uma das vítimas do RansomExx foi o Superior Tribunal de Justiça (STJ), em ataque executado em novembro de 2020.
