Gigabyte como Região Lazio: ataque de hacker com RansomEXX

gurinho

Depois de atacar a região do Lazio , RansomEXX atacou novamente: desta vez, a vítima dos hackers é a Gigabyte , uma empresa taiwanesa. Poucos dias após o anúncio de um ransomware que atingiu a Holanda , a cibersegurança global foi abalada por um novo ataque. Por trás da invasão estão os mesmos invasores que visaram os sistemas da Lazio, mas as investigações ainda estão em andamento e muitos detalhes ainda precisam ser descobertos. Haveria cerca de 112 GB de dados mantidos como reféns no momento.

Gigabyte e região do Lazio: mesmo ataque de hacker

Mesmo script, vítima diferente: alguns dias após o ataque de hackers na região do Lazio, a Gigabyte, uma empresa taiwanesa, foi atingida pelo ransomware RansomEXX . A empresa líder no fornecimento de placas-mãe e componentes de hardware para Nvidia e AMD terá que pagar um resgate para obter de volta 112 GB de dados. Dizer que é o mesmo grupo de hackers que lançou o ataque em nota publicada no site da empresa. O grupo, que se acredita ser o mesmo que o ataque à Lazio, disse ter muitas informações internas da Gigabyte, incluindo documentos com acordos de sigilo que também pertencem à AMD, Intel e Nvidia.

A Gigabyte, empresa líder no fornecimento de componentes de hardware, foi atingida por um ataque de hacker semelhante ao da região do Lazio.
A Gigabyte, empresa líder no fornecimento de componentes de hardware, foi atingida por um ataque de hacker semelhante ao da região do Lazio.

O ataque ocorreu na noite entre 3 e 4 de agosto, forçando a empresa a desligar os sistemas de Taiwan para evitar maiores danos e causar muitas interrupções. De acordo com a Gigabyte, o malware afetaria apenas uma pequena parte do servidor . Entre eles, aqueles que se dedicam aos fluxos de produção e vendas não seriam prejudicados. No entanto, várias partes do site taiwanês e do serviço ao cliente estão inutilizáveis.

O site de suporte ao cliente da Gigabyte está fora de uso há dias.
O site de suporte ao cliente da Gigabyte está fora de uso há dias.

A Gigabyte ainda não divulgou nenhuma nota sobre a identidade dos atacantes, mas é quase certo que se trata do mesmo grupo vinculado à Região do Lácio. Notas contendo um link para uma página com instruções para pagar o resgate foram identificadas nos dispositivos criptografados. A página não é pública, mas apenas visível para a rede Gigabyte. Fontes dentro da empresa, no entanto, divulgaram algumas imagens da página, onde os invasores afirmam ter roubado e criptografado os dados da Gigabyte. No site lemos:

Baixamos 112 GB de seus arquivos e estamos prontos para publicá-los. Muitos deles estão sob acordos de sigilo (Intel, AMD, American Megatrends).

Para demonstrar a veracidade do ataque, os hackers postaram algumas fotos dos documentos roubados na página . Nas instruções de pagamento os atacantes pedem para falar com um representante da empresa, ameaçando aumentar o valor do resgate se isso não acontecer. Atualmente não há notícias sobre a disposição de pagar da Gigabyte, nem se ela contatou o grupo de hackers.

RansomEXX

RansomEXX não é apenas o nome do ransomware que está aterrorizando o mundo, mas também se refere ao grupo de hackers por trás dele. Os ataques com esse malware começaram em 2018, embora ainda fossem chamados de Defray na época. Inicialmente, o RansomEXX afetava apenas os sistemas Windows, mas nos últimos tempos também se estendeu para o Linux , explorando algumas vulnerabilidades dos servidores VMware ESXi.

O ransomware usa e-mails para enviar às vítimas um documento do Word com uma macro maliciosa. Uma macro é uma série de instruções agrupadas em um único comando, usadas para automatizar tarefas frequentes, agilizando o trabalho. Muitos usuários não estão usando macros e, por padrão, a configuração está desabilitada. Quando o anexo é aberto, uma mensagem solicita ao usuário que habilite a execução de macros para acessar o conteúdo confidencial do documento. Uma vez habilitada, a macro executa código malicioso infectando todo o sistema.

Como qualquer ransomware, o RansomEXX criptografa arquivos e exige um resgate para recuperá-los.
Como qualquer ransomware, o RansomEXX criptografa arquivos e exige um resgate para recuperá-los.

Nesse ponto, se a máquina estiver dentro de uma rede, o malware tentará violá-la totalmente, explorando as vulnerabilidades do protocolo de desktop remoto ou roubando credenciais e adquirindo cada vez mais acessos. Ao mesmo tempo, o ransomware coleta todos os dados presentes nos dispositivos atacados, criptografando-os e disponibilizando-os aos atacantes que solicitarão o resgate.

O artigo da Gigabyte como Região Lazio: ataque de hacker com RansomEXX vem de Tech CuE | Engenharia de Close-up .