Em uma rara demonstração de transparência, a empresa americana de serviços de energia BHI Energy detalha como a operação de ransomware Akira violou suas redes e roubou os dados durante o ataque.
A BHI Energy, parte da Westinghouse Electric Company, é uma provedora de serviços de engenharia especializados e soluções de pessoal que apoia unidades privadas e operadas pelo governo de petróleo e gás, nuclear, eólica, solar e geração de energia fóssil, além de instalações de transmissão e distribuição de eletricidade.
Em uma notificação de violação de dados enviada pela BHI Energy às pessoas afetadas, a empresa fornece informações detalhadas sobre como a quadrilha de ransomware Akira violou sua rede em 30 de maio de 2023.
O ataque começou com o ator de ameaças Akira usando as credenciais de VPN roubadas de um terceiro contratado para acessar a rede interna da BGI Energy.
"Usando a conta desse terceiro contratado, o TA (ator de ameaça) acessou a rede interna da BHI através de uma conexão VPN", lê-se na notificação de violação de dados.
"Na semana após o acesso inicial, o TA usou a mesma conta comprometida para fazer um reconhecimento da rede interna".
Os operadores de Akira revisaram a rede em 16 de junho de 2023, para enumerar os dados que seriam roubados.
Entre 20 e 29 de junho, os atores de ameaças roubaram 767k arquivos contendo 690 GB de dados, incluindo o banco de dados do Active Directory do Windows da BHI.
Finalmente, em 29 de junho de 2023, tendo roubado todos os dados possíveis da rede da BHI, os atores de ameaças implantaram o ransomware Akira em todos os dispositivos para criptografar arquivos.
Foi quando a equipe de TI da BHI percebeu que a empresa havia sido comprometida.
A empresa diz que imediatamente informou às autoridades e contratou especialistas externos para ajudá-los a recuperar os sistemas afetados.
Os invasores foram removidos da rede da BHI em 7 de julho de 2023.
A empresa diz que conseguiu recuperar os dados de uma solução de backup na nuvem que não tinha sido afetada pelo ataque de ransomware, então eles conseguiram restaurar seus sistemas sem pagar resgate.
Adicionalmente, a BHI reforçou suas medidas de segurança impondo autenticação de múltiplos fatores no acesso VPN, realizando uma redefinição global de senhas, estendendo a implementação de ferramentas EDR e AV para cobrir todas as seções de seu ambiente, e desativando sistemas legados.
Embora a BHI tenha conseguido recuperar seus sistemas, os atores de ameaças conseguiram roubar dados contendo informações pessoais dos funcionários.
Uma investigação concluída em 1º de setembro de 2023 indica que os seguintes dados foram roubados:
- Nome completo
- Data de nascimento
- Número do Seguro Social (SSN)
- Informações de saúde
No momento da escrita, o ransomware Akira não vazou nenhum dado pertencente à BHI em seu portal de extorsão na dark web, e os cibercriminosos também não anunciaram a BHI em seus futuros vazamentos de dados.
As notificações de violação de dados incluem instruções sobre como se inscrever em um serviço de proteção contra roubo de identidade de dois anos através da Experian.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...