Apple é Alvo de Ataque de Ransomware na Quanta | Hackers Exigem $50m - TechRobot

Apple é Alvo de Ataque de Ransomware na Quanta | Hackers Exigem $50m

Os ataques de ransomware têm aumentado desde o início da pandemia em dezembro de 2019. De fato, vários relatórios mostram que, até o final de 2020, os ataques de ransomware cresceram pelo menos 150%, e o resgate médio exigido dobrou para cerca de $170000. Os criminosos geralmente visam empresas com alta receita devido ao potencial de um grande pagamento. Também se tornou uma tendência visar grandes fabricantes de tecnologia.

Por exemplo, em novembro de 2020, a Foxconn foi alvo de um ataque de ransomware no qual os hackers responsáveis deletaram terabytes de dados de backup de mais de mil servidores criptografados. Os atacantes pediram $34 milhões antes de liberarem os dados criptografados. Para contextualizar, a Foxconn é a maior fabricante de equipamentos eletrônicos para empresas como Amazon, Sony, Microsoft e Apple. No início daquele mês, hackers atacaram outro fabricante (Compal) com um ataque de ransomware.

Isso apenas mostra que grandes empresas de fabricação de tecnologia agora estão sob o risco de ataques de ransomware mais sofisticados. O ataque mais recente aconteceu alguns dias antes do final de abril de 2021. A Quanta, uma empresa sediada em Taiwan que produz laptops para grandes empresas de tecnologia, incluindo a Apple, foi atingida por um ataque de ransomware que pode custar à Apple $50 milhões. 

O que é Ransomware?

Ransomware é uma forma de malware (software malicioso) que ganha acesso a um computador e visa arquivos ou sistemas, criptografando-os e tornando-os inacessíveis numa tentativa de fazer a empresa ou o proprietário pagar pelo seu resgate. A partir da palavra “resgate”, é fácil entender o objetivo final de todos os ataques de ransomware – fazer a vítima pagar um resgate em troca da liberação do(s) arquivo(s) ou sistema(s) sequestrado(s). Uma vez que a vítima paga, os atacantes liberam uma chave de descriptografia que a vítima usa para descriptografar o(s) arquivo(s) ou sistema(s) criptografado(s).

A primeira forma de ataque de ransomware aconteceu há muito tempo, em 1989. Desde então, entidades maliciosas têm usado o avanço da tecnologia para perpetrar ataques mais sofisticados. A evolução do ransomware viu atores mal-intencionados oferecendo serviços como Ransomware-como-Serviço (RaaS) para expandir sua rede e capacidades. Ataques de ransomware em dispositivos móveis também estão se tornando comuns agora, e com a taxa na qual o uso da tecnologia da Internet das Coisas está se expandindo, estamos fadados a ver novos ataques. 

Grupo Hacker REvil Ataca a Apple Através da Quanta

No dia 20 de abril de 2021, enquanto a Apple revelava seus mais recentes gadgets no evento Spring Loaded, um dos maiores fabricantes de laptops do mundo foi atingido por um ataque de ransomware perpetrado por um grupo de hackers russos conhecido como REvil. A Quanta fabrica MacBooks para a Apple, além de outros produtos. O REvil, também conhecido como Sodinokibi, mostrou evidências de seu ataque bem-sucedido ao postar os esquemas dos mais recentes produtos da Apple, incluindo o já lançado MacBook Air M1 de 2020 e os novos designs do iMac.

Alguns dias antes dos vazamentos de dados, um usuário com o nome de usuário UNKN deu a entender no XSS (um fórum popular de cibercrime) que um grande anúncio estava por vir, incentivando hackers a se juntarem ao grupo. Acreditamos que esse usuário representa o grupo de ransomware REvil, encarregado de anunciar tais notícias e recrutar novos afiliados para seu programa de ransomware-como-serviço.

Quanta reconheceu que o ataque aconteceu. Também disse que sua equipe de segurança está respondendo ao ataque, mas não há impacto significativo na sua operação de negócios. No comunicado da empresa, a Quanta disse, “Nós reportamos e mantivemos comunicações contínuas com as autoridades de aplicação da lei e proteção de dados relevantes sobre atividades anormais recentemente observadas. Não há impacto material na operação de negócios da empresa.” Desde então, atualizou sua infraestrutura de cibersegurança para evitar que isso aconteça novamente.

Estes atacantes exigiram uma soma de $50 milhões em troca das imagens, mas a Quanta recusou-se a pagar, forçando-os a recorrer à empresa mais valiosa do mundo. É por isso que o grupo REvil divulgou cerca de 21 imagens de esquemas do MacBook no mesmo dia do evento Spring Loaded da Apple; uma declaração que provavelmente não passará despercebida.

Também ameaçou liberar novos dados todos os dias até que a Apple pague o resgate e deu um ultimato até 1º de maio. A REvil revelou todas essas informações por meio de seu “Happy Blog”, um site que usa para compartilhar publicamente suas façanhas de hacking. A Apple não emitiu nenhum comunicado sobre o ataque e não deu nenhuma indicação de que pagará o resgate.

Uma História do Grupo Hacker REvil e Seus Feitos

Sodinokibi, popularmente conhecido como REvil, tem uma reputação por seus ataques de ransomware. Pessoas na área de segurança da informação acreditam que esse grupo é baseado na Rússia devido à sua relutância em atacar empresas russas ou estatais. Eles também acreditam que é um desdobramento de um grupo malicioso anterior–GandCrab. GandCrab foi tão prolífico quanto o REvil é agora, acumulando cerca de $2 bilhões em resgates em quase dois anos. Por volta da mesma época em que GandCrab encerrou operações, REvil começou a se tornar proeminente. 

Ao contrário da maioria dos grupos de hackers, o REvil opera um modelo diferente que lhe permite ganhar mais dinheiro. Ele usa um modelo de Ransomware como Serviço (RaaS) onde licencia malware para afiliados de confiança. Depois, recebe uma porcentagem do resgate se os afiliados realizarem um ataque com sucesso. O REvil também utiliza o que é conhecido como método de dupla extorsão para aumentar as chances de suas vítimas pagarem o resgate. Isso significa que, após criptografar os dados, o REvil também transfere o que pode para seus servidores com uma ameaça de vendê-los.

Se uma empresa possui backups, ela ainda pode precisar pagar um resgate se o grupo malicioso transferiu informações sensíveis para seus servidores. Há também a possibilidade de usar um ataque DDoS na mesma vítima para aumentar a pressão e forçá-la a pagar o resgate. Começa-se a questionar por que esse grupo está fazendo tudo o que pode para arrecadar fundos. Será para financiar ataques mais lucrativos ou apenas pura e simples ganância?

Agora, vamos dar uma olhada em alguns dos ataques generalizados que este grupo realizou no passado. 

1. Governos Locais do Texas

Nas primeiras horas do dia 16 de agosto de 2019, REvil atacou 23 agências governamentais locais do Texas e pediu um resgate de $2,5 milhões. Pessoas que trabalhavam nessas agências não tinham acesso aos arquivos aos quais geralmente tinham acesso. Foi um ataque coordenado pelo REvil que derrubou os sistemas e sites das agências. Felizmente, o REvil não atacou seus sistemas de backup, então eles não cederam às exigências. Após coordenar com várias equipes de cibersegurança, essas agências conseguiram restaurar o acesso aos arquivos e sistemas que o grupo REvil havia sequestrado.

2. Travelex

A Travelex é uma empresa que lida com a troca de moeda estrangeira ao redor do mundo. É muito popular em aeroportos, pois facilita o processo de trocar sua moeda local por outra moeda. Em 31 de dezembro de 2019, REvil ganhou acesso à rede da Travelex. Isso aconteceu porque a Travelex usava uma VPN desatualizada e o grupo REvil aproveitou as vulnerabilidades no software não atualizado. Após infiltrar-se na rede, REvil espalhou um ransomware que derrubou toda a rede da Travelex, exigindo um resgate de $2.3 milhões.

A Travelex não divulgou que havia sofrido um ataque de ransomware. Em vez disso, disseram que seus sistemas estavam em manutenção. Depois, pagaram secretamente o resgate e restauraram o acesso à sua rede e sistemas. Infelizmente para eles, a verdade veio à tona nas manchetes, e eles perderam a confiança do público. É uma coisa ser vítima de um ataque devido a políticas de segurança terríveis, mas mentir para seus clientes e o público sobre isso é uma ofensa grave. Até este momento, a Travelex ainda está enfrentando as consequências de suas ações.

3. Grubman Shire Meiselas & Sacks

Em maio de 2020, REvil obteve acesso a mais de 750 GB de documentos legais privados. Grubman Shire Meiselas e Sacks é um escritório de advocacia que representa várias celebridades, incluindo o ex-presidente dos EUA Donald Trump. Inicialmente, REvil estabeleceu um resgate de $21 milhões, mas aumentou o valor após ver os dados de Trump. O escritório de advocacia seguiu o conselho do FBI de não pagar, e REvil leiloou os dados na Dark Web.

Conclusão 

Os crescentes ataques a empresas que produzem hardware para as principais empresas de tecnologia devem ser motivo de preocupação. É evidente que essas empresas são visadas por suas ligações com gigantes da indústria tecnológica. Ataques como esses são lembretes de que as empresas devem levar a cibersegurança a sério o máximo possível, pois o custo de estabelecer uma defesa adequada contra ataques é geralmente menor do que o custo de recuperar ativos.