MaxLinear sofre uma violação de dados durante um ataque do Maze Ransomware
Tradicionalmente, os ataques de ransomware tendem a ser bastante barulhentos. Embora os distribuidores de keyloggers e ladrões de senhas desejem permanecer o mais furtivamente possível, os operadores de ransomware costumam dizer à vítima quantos problemas eles causaram, e geralmente o fazem logo após a invasão. Como um ataque recente contra uma empresa de hardware com o nome MaxLinear mostra, no entanto, os tempos estão mudando, assim como as operações de ransomware.
Os sistemas de TI da empresa de capital aberto foram violados pela primeira vez em 15 de abril. Por mais de um mês, os hackers permaneceram silenciosos, o que era incomum, mas em 24 de maio eles implantaram o ransomware Maze e criptografaram alguns dos dados do MaxLinear. Ontem, o fabricante do hardware registrou um formulário de 8-K na Securities and Exchange Commission (SEC) e lançou um pouco mais de luz sobre o ataque.
MaxLinear diz que vai passar
Depois de perceber o que está acontecendo, a MaxLinear imediatamente retirou toda a sua infra-estrutura e contratou uma empresa de segurança cibernética para ajudar na investigação. Aparentemente, os especialistas em segurança têm mais trabalho a fazer antes que possam dizer exatamente o que aconteceu, mas, segundo o registro, alguns dos sistemas já foram restaurados e o restante deve seguir o exemplo em breve. Obviamente, a recuperação do incidente custará dinheiro, mas a MaxLinear acredita que os efeitos em suas demonstrações financeiras não serão tão graves. Fundamentalmente, a empresa anunciou que "não tem planos" de atender às demandas dos cibercriminosos.
Quando grandes empresas são atacadas, as exigências de resgate são bastante sérias e, ao recusar o pagamento, o MaxLinear provavelmente economizará centenas de milhares de dólares. Temos certeza de que os acionistas estão bastante satisfeitos com isso, mas em circunstâncias normais, há outro aspecto mais importante em não ceder às tentativas de extorsão dos hackers. Isso geralmente significa que todo o ataque foi uma perda de tempo para os cibercriminosos. Infelizmente, quando o Maze ransomware está envolvido, esse não é o caso.
Os dados dos funcionários da MaxLinear foram roubados
Os hackers não ficaram ociosos entre 15 de abril e 24 de maio. Enquanto estavam nos sistemas da MaxLinear, eles encontraram e baixaram muitos dados e agora os estão usando como alavanca para uma segunda tentativa de extorsão. Tendo visto que a empresa não pagará pela descriptografia dos arquivos, os cibercriminosos agora ameaçam vazar as informações se a empresa não cumprir suas regras.
As ameaças começaram a se materializar em 15 de junho. A Bleeping Computer diz que os operadores de ransomware do Maze vazaram cerca de 10 GB de dados em seu site. Os cibercriminosos alegam, no entanto, que, no total, roubaram cerca de 1 TB de informações e podem vazá-las ou vendê-las quando quiserem. Isso é uma má notícia para os funcionários da MaxLinear, porque, infelizmente, são as informações sobre as quais estamos falando.
Em 10 de junho, vários dias antes da publicação do registro na SEC, a MaxLinear registrou uma notificação de violação de dados na Procuradoria Geral da Califórnia. A mesma notificação também foi enviada a alguns dos funcionários da empresa e informa que muitos de seus dados pessoais foram expostos durante o ataque do ransomware Maze.
A carta não diz quantas pessoas estiveram envolvidas, mas revela que tipo de dados foram roubados. Os hackers acessaram qualquer coisa, desde nomes, endereços de email, informações sobre remuneração e benefícios até números de carteira de motorista, números de Seguro Social e números de contas financeiras. Os funcionários afetados são elegíveis para os serviços de monitoramento de crédito e proteção contra roubo de identidade pagos pela empresa, e temos certeza de que muitos deles tirarão proveito da oferta. Mesmo assim, isso dificilmente será uma experiência agradável para eles.
O roubo de dados antes da criptografia é uma reviravolta relativamente nova e muito sinistra na operação de algumas das principais famílias de ransomware e, por causa disso, o risco para as empresas é efetivamente duplo. Até agora, o processo de remediação contava apenas com um bom backup. A exposição de dados é irreversível, o que significa que os alvos em potencial precisam ter mais cuidado do que nunca.