O Grupo de Atores de Ameaças Revoltas executa dois novos ataques
O grupo REvil de atores de ameaças de ransomware parece ter realizado dois novos ataques bem-sucedidos, de acordo com relatórios. A primeira das duas últimas vítimas dos hackers é uma empresa de roupas de moda chamada French Connection, que comercializa seus produtos com a marca atrevida FCUK, com sede no Reino Unido. A segunda vítima está localizada na América do Sul e é uma empresa médica brasileira chamada Grupo Fleury.
REvil, que também é a entidade que opera o infame ransomware Sodinokibi que já existe há alguns anos, violou os servidores de back-end do French Connection e exfiltrou informações pessoais relacionadas aos executivos de alto escalão da empresa.
O Threatpost relatou o incidente, citando a publicação britânica The Register e informando que os executivos do French Connection tiveram suas varreduras de cartões de identificação pessoais exibidas pelos hackers como prova de seu ataque bem-sucedido.
A French Connection publicou um comunicado informando sobre a intrusão e também disse que a empresa "não tem evidências" de que os malfeitores conseguiram acessar as informações dos clientes. Como esperado, a empresa desligou os sistemas afetados da rede maior imediatamente quando eles descobriram a violação e, em seguida, contratou ajuda externa para consertar a situação.
O ataque à empresa médica brasileira ocorreu no dia 22 de junho e no dia seguinte eles afirmaram que ainda estavam trabalhando para restaurar o funcionamento normal. O depoimento sobre o ataque foi divulgado por meio de publicação online do Rio de Janeiro.
O ataque à empresa médica é fácil de explicar, porque se os hackers conseguissem colocar as mãos nos dados dos pacientes e nos resultados dos testes, eles poderiam facilmente extorquir dinheiro para não vazá-lo online. A situação com a French Connection, no entanto, é mais interessante. Não parece ter havido nenhum grande pedido de resgate aqui, ou pelo menos não parece provável, dado o que os hackers decidiram mostrar como prova de seu ataque. A mudança em direção a indivíduos de alto escalão e não aos bancos de dados corporativos de uma empresa é interessante.
O Threatpost citou ainda o especialista em segurança Dirk Schrader e ele mencionou um novo termo muito interessante - 'fadiga do ransomware'. A implicação era que esse tipo de ataque de ransomware se tornou tão frequente e os anúncios de outra vítima do REvil, do grupo DarkSide ou de algum outro grupo de atores de ameaças tornaram-se tão frequentes que as empresas e a comunidade de segurança de TI estão começando a se tornar um pouco apáticas a tudo.