Advantech, fabricante de chips IIoT, atingida por ransomware pedindo resgate de US $ 12,5 milhões
A gangue de ransomware Conti atingiu os sistemas de automação industrial e fabricante de chips de IoT industrial (IIoT) Advantech e agora está exigindo um resgate de US $ 14 milhões para descriptografar os sistemas afetados e impedir o vazamento de dados roubados da empresa.
A Advantech é um fabricante líder global de produtos e soluções de TI, incluindo PCs embutidos, dispositivos de rede, IoT, servidores e soluções de saúde, com uma força de trabalho de mais de 8.000 pessoas em 92 grandes cidades ao redor do mundo.
A empresa era a líder mundial em computação industrial com 34% de participação no mercado WW em 2018 e relatou uma receita de vendas anual de mais de US $ 1,7 bilhão em 2019.
Resgate definido em 750 Bitcoins
Os operadores Conti por trás do ataque à rede da Advantech estabeleceram um resgate de 750 BTC (cerca de US $ 12.600.000 na taxa de câmbio de hoje) para a descriptografia completa de dados e para a remoção de dados roubados de seus servidores de acordo com um registro de bate-papo visto por BleepingComputer.https://www.ad-sandbox.com/static/html/sandbox.html
Conti também disse que eles estão dispostos a descriptografar dois dos arquivos criptografados antes que o resgate seja pago como prova de que seu descriptografador funciona.
Os operadores de ransomware acrescentaram em 21 de novembro de 2020 que vazarão parte dos dados roubados se não houver resposta da empresa no dia seguinte.
Em 26 de novembro, o grupo começou a publicar os dados da Advantech em seu site de vazamento de dados de ransomware como um arquivo de 3,03 GB com 2% dos dados roubados e um documento de texto com uma lista de arquivos incluídos no arquivo ZIP.
A gangue do ransomware também afirmou que, se o resgate for pago, eles removerão imediatamente quaisquer backdoors implantados na rede da empresa e fornecerão dicas de segurança sobre como proteger a rede para bloquear violações futuras.
Eles também disseram que quaisquer dados roubados seriam excluídos assim que o pagamento fosse realizado. Apesar de suas promessas, uma pesquisa da empresa de negociação de ransomware Coveware mostrou que algumas operações de ransomware não removem realmente os arquivos excluídos após o pagamento do resgate.
Embora a empresa não tenha emitido nenhuma declaração pública sobre o ataque de ransomware em seus sistemas, a BleepingComputer conseguiu obter uma cópia da nota de resgate que os operadores Conti implantaram nos sistemas criptografados da Advantech.Musas da realidadeAd by Vult See More
Um porta-voz da Advantech não estava imediatamente disponível para comentar quando o BleepingComputer entrou em contato hoje cedo.
O ransomware Conti
O Conti ransomware foi detectado pela primeira vez em ataques isolados no final de dezembro de 2019, com ataques aumentando em junho de 2020.
Este ransomware compartilha código com o notório Ryuk Ransomware e começou a ser distribuído através de shells reversos abertos pelo trojan TrickBot depois que a atividade do Ryuk diminuiu em julho de 2020.
Os operadores Conti violam redes corporativas e se espalham lateralmente até obterem acesso às credenciais de administrador de domínio que lhes permitem implantar as cargas úteis de ransomware usadas para criptografar dispositivos.
Operando como um Ransomware-as-a-Service (RaaS) privado que recruta hackers experientes para implantar o ransomware em troca de grandes ações de resgate, Conti abriu seu próprio site de vazamento de dados com 26 vítimas em agosto de 2020.
Atualização de 30 de novembro, 07:31 EST : Um porta-voz da Advantech confirmou o ataque e que os dados foram roubados dos sistemas da empresa, mas não corroborou as afirmações da gangue de ransomware Conti de que estava por trás do incidente.A Advantech, líder global em IoT industrial, implementou contramedidas contra os recentes ciberataques maliciosos. Ativamos e atualizamos nossos mecanismos de segurança e proteção da informação, e nosso status atual é detalhado a seguir:
• Alguns dados podem ter sido roubados por hackers devido a um pequeno número de servidores Advantech que foram atacados. De acordo com nossa avaliação de risco interna, os dados roubados eram confidenciais, mas continham apenas documentos de baixo valor.
• O servidor OA atacado foi gradualmente recuperado e todos os sistemas operacionais importantes estão funcionando normalmente.
• Ao mesmo tempo, a Advantech também realizou preservação de dados e atualizações de sistema relacionadas à segurança da informação do cliente e sistemas operacionais.
• Alguns meios de comunicação informaram que a Advantech foi chantageada, o que está de acordo com o propósito da maioria dos ataques cibernéticos gerais. A Advantech não fará comentários sobre isso.
Ao resolver esse incidente, a Advantech introduziu novas ações de detecção, proteção e resposta em nossas estratégias de segurança cibernética para mitigar os riscos de ataques futuros. Esperamos que nossos colegas, parceiros e clientes globais permaneçam pacientes durante todo o período de recuperação, enquanto superamos este grande revés do ciberataque.