O grupo de ransomware RansomHub é o responsável pelo recente ataque cibernético contra a gigante dos serviços de petróleo e gás, Halliburton, que interrompeu os sistemas de TI e as operações comerciais da empresa.
O ataque causou uma ampla disrupção, e foi informado de que os clientes não conseguiam gerar faturas ou ordens de compra porque os sistemas necessários estavam fora do ar.
A Halliburton divulgou o ataque na última sexta-feira em um arquivo da SEC, declarando que sofreu um ataque cibernético em 21 de agosto de 2024, por uma parte não autorizada.
"Em 21 de agosto de 2024, a Halliburton Company (a "Companhia") tomou conhecimento de que uma terceira parte não autorizada obteve acesso a alguns de seus sistemas", diz o arquivo da Halliburton na SEC.
Quando a Companhia soube do problema, ativou seu plano de resposta à cibersegurança e iniciou uma investigação internamente com o apoio de assessores externos para avaliar e remediar a atividade não autorizada.
A empresa presta diversos serviços a companhias de petróleo e gás, incluindo construção de poços, perfuração, fraturamento hidráulico (fracking) e software e serviços de TI.
Devido à ampla gama de serviços da empresa, há uma grande conectividade entre eles e seus clientes.
Isso fez com que outros clientes se desconectassem da Halliburton devido à falta de informações compartilhadas.
Também foi informado que algumas empresas estão trabalhando com a ONG-ISAC, uma agência que atua como um ponto central de coordenação e comunicação para ameaças físicas e cibernéticas contra a indústria de petróleo e gás, para receber informações técnicas sobre o ataque e determinar se também foram violadas.
Por dias, houve rumores de que a Halliburton sofreu um ataque de ransomware do RansomHub, com usuários alegando isso no Reddit e no site de discussão sobre demissões, TheLayoff, onde uma parte da nota de resgate do RansomHub foi publicada.
Quando a empresa foi contatada sobre essas alegações, a Halliburton disse que não faria mais comentários.
"Não estamos comentando além do que foi incluído no nosso arquivo. Quaisquer comunicações subsequentes serão na forma de um 8-K", disse a Halliburton em comunicado.
No entanto, em um email de 26 de agosto enviado aos fornecedores, a Halliburton forneceu informações adicionais afirmando que a empresa desligou os sistemas para protegê-los e está trabalhando com a Mandiant para investigar o incidente.
"Estamos entrando em contato para atualizá-los sobre um problema de cibersegurança que afeta a Halliburton", diz a carta.
Assim que tomamos conhecimento do problema, ativamos nosso plano de resposta à cibersegurança e tomamos medidas para abordá-lo, incluindo (1) desligar proativamente certos sistemas para ajudar a protegê-los, (2) envolver o suporte de consultores externos líderes, incluindo a Mandiant, e (3) notificar as autoridades competentes.
Eles também afirmaram que seus sistemas de email continuam a operar, pois estão hospedados na infraestrutura Microsoft Azure.
Uma solução alternativa também está disponível para transações e emissão de ordens de compra.
Este email inclui uma lista de IOC contendo nomes de arquivos e endereços IP associados ao ataque que os clientes podem usar para detectar atividades semelhantes em sua rede.
Um desses IOC é para um executável Windows chamado maintenance.exe, que foi confirmado ser um criptografador de ransomware do RansomHub.
Após analisar a amostra, parece ser uma versão mais nova do que a previamente analisada, pois contém um novo argumento de linha de comando "-cmd string", que executará um comando no dispositivo antes de criptografar arquivos.
A operação RansomHub de ransomware começou em fevereiro de 2024, alegando ser um grupo de extorsão de roubo de dados que vende arquivos roubados para o maior lance.
No entanto, logo depois, descobriu-se que a operação também utilizava criptografadores de ransomware em seus ataques de dupla extorsão, onde os atores de ameaças violavam redes, roubavam dados e então criptografavam arquivos.
Os arquivos criptografados e a ameaça de vazamento de dados roubados eram então usados como alavanca para assustar as empresas a pagar um resgate.
A Symantec analisou os criptografadores de ransomware e relatou que eles eram baseados nos criptografadores de ransomware Knight, anteriormente conhecidos como Cyclops.
A operação Knight afirmou que vendeu seu código-fonte em fevereiro de 2024 e encerrou as atividades justamente quando o RansomHub foi lançado.
Isso fez muitos pesquisadores acreditarem que o RansomHub é uma rebranding da operação de ransomware Knight.
Hoje, o FBI lançou um aviso sobre o RansomHub, compartilhando as táticas do ator de ameaças e alertando que eles violaram pelo menos 210 vítimas desde fevereiro.
É comum o FBI e a CISA publicarem avisos coordenados sobre atores de ameaças logo após realizarem um ataque altamente impactante em infraestrutura crítica, como a Halliburton.
No entanto, não se sabe se o aviso e o ataque estão ligados.
Desde o início do ano, o RansomHub foi responsável por inúmeros ataques de alto perfil, incluindo aqueles na cooperativa de crédito americana Patelco, na rede de drogarias Rite Aid, na casa de leilões Christie's e no provedor de telecomunicações dos EUA, Frontier Communications.
O site de vazamento de dados da operação de ransomware também foi utilizado para vazar dados roubados pertencentes à Change Healthcare, após o encerramento das operações de ransomware BlackCat e ALPHV.
Acredita-se que, após o encerramento do BlackCat, alguns de seus afiliados migraram para o RansomHub, permitindo que escalassem rapidamente seus ataques com atores de ameaças de ransomware experientes.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...