Ataque no Grupo Fleury foi de ransomware 633a4v

A queda dos sistemas do Grupo Fleury, informada na tarde da última terça-feira, 22, foi consequência de um ciberataque do tipo ransomware, conforme afirma o jornal Valor Econômico.

Segundo a publicação, os invasores usaram uma tática de invasão conhecida como movimento lateral, explorando falhas simples em contas de usuários comuns até alcançarem contas com nível de .

Desta forma, os cibercriminosos teriam chegado ao servidor de controle da rede da empresa e enviado comandos aos pontos finais da rede — que podem ser desde computadores de funcionários a dispositivos conectados, como smartphones e câmeras de vigilância.

Para liberar os dados criptografados, os invasores teriam pedido um resgate em bitcoin, o que geralmente é feito em carteiras digitais descartadas logo após o pagamento para eliminar rastros.

Segundo a fonte anônima ouvida pelo Valor, o ataque usou o ransomware Sodinokibi, do grupo de hackers REvil, o mesmo que afetou a JBS no início do mês — quando a empresa pagou US$ 11 milhões em bitcoins para destravar operações na Austrália, Canadá e Estados Unidos.

De acordo com o CISO Advisor, nenhum dos 26 grupos de ransomware monitorados pelo site reivindicou a autoria do ataque, mas, em geral, eles não anunciam suas vítimas no mesmo dia do incidente — pois aguardam um prazo de três a sete dias para o pagamento do resgate.

O REvil é um dos grupos cibercriminosos mais lucrativos do mundo e acredita-se que a maioria de seus membros residam na Rússia ou em países que faziam parte da ex-União Soviética. Além da JBS, ele tem em sua lista de vítimas Honeywell, Acer e a Braskem.

Trata-se não apenas de um ransomware, mas de uma plataforma que controla ataques de ransomware. Ele opera como um “ransomware as a service”, que aluga seus serviços e cobra uma porcentagem dos resultados. 

Os “afiliados” são as pessoas que distribuem o malware por meio de campanhas de phishing.

O Grupo Fleury, que ontem comunicou estar com seus sistemas indisponíveis por conta de uma “tentativa de ataque externo”, divulgou um novo comunicado para atualizar a imprensa na tarde desta quarta-feira, 23, mas não confirmou o sequestro de dados.

Em nota, a companhia afirmou que a sua base de dados está “íntegra” e que o atendimento em todas as suas unidades ainda segue acontecendo por meio de ação de contingência para garantir a prestação de serviços aos clientes.

“Informamos que estamos com um grupo de profissionais altamente especializados em tecnologia e segurança da informação avançando consistentemente nas soluções para realizarmos uma retomada gradual e segura dos nossos serviços”, comunicou a empresa.

Segundo dados da Fortinet, o Brasil foi alvo de 3,2 bilhões de tentativas de ciberataques no primeiro trimestre de 2021, o que representa o dobro do volume registrado no primeiro trimestre do ano ado.

Confira a nova nota divulgada pelo Grupo Fleury:

Com o objetivo de compartilhar atualização sobre o restabelecimento dos nossos serviços após indisponibilidade decorrente da tentativa de ataque externo aos nossos sistemas, informamos que estamos com um grupo de profissionais altamente especializados em tecnologia e segurança da informação avançando consistentemente nas soluções para realizarmos uma retomada gradual e segura dos nossos serviços.

Vale salientar que nossa base de dados está íntegra e que o atendimento em todas as nossas unidades segue acontecendo ainda por meio de ação de contingência para garantir a prestação de serviços aos nossos clientes, que seguem recebendo nosso foco de atenção.