DarkSide ataca filial europeia da Toshiba Corporation

Seguindo o rastro do ataque bem-sucedido realizado na infraestrutura da Colonial Pipeline que resultou em um pagamento de resgate de US $ 5 milhões, o grupo de atores ameaçadores conhecido como DarkSide executou outro ataque de ransomware. Desta vez, o alvo do DarkSide era uma subdivisão europeia da Toshiba Corporation, com sede no Japão.

Em 14 de maio, a Toshiba publicou um artigo informativo, afirmando que as subsidiárias europeias do Toshiba Tec Group se tornaram a última vítima de um ataque de ransomware e "sofreram danos".

A Toshiba desligou as redes afetadas para evitar a disseminação do ransomware e os sistemas operando entre o velho continente e o Japão, bem como os sistemas inter-europeus foram interrompidos para minimizar os danos.

De acordo com as informações atuais, os danos estão limitados a várias regiões europeias e não há evidências de furto de informações de clientes.

Apesar da garantia de que nenhuma informação do cliente foi vazada ou roubada, o anúncio menciona que "algumas informações e dados podem ter sido vazados". O grupo responsável pelo ataque é o grupo DarkSide que implantou ransomware em sistemas Colonial Pipeline nos Estados Unidos e causou uma grande interrupção no fornecimento de combustível que durou vários dias.

O resultado do ataque anterior foi um pagamento de resgate de $ 5 milhões que a Colonial efetuou poucas horas após o ataque. Apesar do pagamento imediato, a ferramenta de descriptografia fornecida pelos hackers se mostrou muito lenta e a empresa restaurou as operações usando seus próprios backups internos. A Toshiba está fazendo o mesmo atualmente, trabalhando para colocar as redes afetadas em operação, usando backups.

Embora o site do grupo DarkSide não esteja acessível no momento, a ZDNet relatou que uma versão em cache de uma página publicada pela DarkSide mostrou que cerca de 740 gigabytes de dados foram exfiltrados dos sistemas da Toshiba e incluíram passaportes digitalizados, bem como documentação de projeto que pertence à Toshiba.

Resta saber se os agentes mal-intencionados republicam esses arquivos. Grupos de ameaças que usam ransomware recentemente mudaram para um modelo de extorsão dupla, criptografando os arquivos da vítima e exfiltrando o máximo de dados confidenciais possível, em uma tentativa de chantagear ainda mais a vítima e ameaçar vazamento de dados se os pedidos de resgate não forem atendidos.

O DarkSide opera com base no princípio do ransomware como serviço, licenciando suas ferramentas maliciosas para hackers terceirizados. Assim que o pagamento é realizado, os hackers terceirizados dividem o pagamento com o ator de ameaça de nível superior que opera e oferece suporte ao ransomware.

Dois dias atrás, DarkSide se gabou de já ter atacado mais três alvos. Provavelmente, a filial europeia da Toshiba foi o primeiro desses três alvos.