A gigante em automação predial, Johnson Controls, está notificando indivíduos cujos dados foram roubados em um massivo ataque de ransomware que impactou as operações da companhia mundialmente em setembro de 2023.
Johnson Controls é um conglomerado multinacional que desenvolve e fabrica sistemas de controle industrial, equipamentos de segurança, sistemas de HVAC e equipamentos de segurança contra incêndios para edificações.
A empresa emprega mais de 100.000 pessoas através de suas operações corporativas e subsidiárias em 150 países, reportando vendas de US$ 27,4 bilhões em 2024.
Como o site BleepingComputer reportou inicialmente, a Johnson Controls foi atacada por um ransomware em setembro de 2023, seguindo uma violação dos escritórios asiáticos da companhia em fevereiro de 2023 e subsequente movimento lateral através da sua rede.
"Baseados em nossa investigação, determinamos que um ator não autorizado acessou certos sistemas da Johnson Controls de 1º de fevereiro de 2023 a 30 de setembro de 2023 e retirou informações desses sistemas," diz a companhia em cartas de notificação de violação de dados arquivadas junto ao Procurador-Geral da Califórnia, redigidas de forma a ocultar quais informações foram roubadas no ataque.
"Após tomar conhecimento do incidente, terminamos o acesso do ator não autorizado aos sistemas afetados. Além disso, envolvemos especialistas terceirizados em cibersegurança para investigar e resolver o incidente. Também notificamos as autoridades policiais e divulgamos publicamente o incidente em arquivamentos em 27 de setembro de 2023; 13 de novembro de 2023; e 14 de dezembro de 2023."
O ciberataque forçou a Johnson Controls a desligar grandes partes da sua infraestrutura de TI depois que os atores de ameaça criptografaram muitos dispositivos, o que afetou suas operações mundialmente e sistemas voltados para os clientes.
A Johnson Controls confirmou em um arquivamento de janeiro de 2024 na SEC que o ciberataque foi orquestrado por uma gangue de ransomware que também roubou documentos de sistemas comprometidos durante a violação.
Embora a empresa não tenha atribuído o incidente a uma operação específica de ransomware, o ataque foi ligado ao grupo de ransomware Dark Angels baseado em uma amostra de um criptografador VMware ESXi implantado durante a violação, que afirmava ter sido usado contra a Johnson Controls.
Foi informado de que a nota de resgate estava vinculada a um chat de negociação onde a gangue de ransomware exigia US$ 51 milhões por um decodificador e para deletar os dados roubados da rede da Johnson Controls.
Os operadores de ransomware também criptografaram as máquinas virtuais VMware ESXi da empresa durante o ataque e afirmaram ter roubado mais de 27 TB de documentos contendo dados corporativos.
Naquele momento, a empresa declarou que as despesas relacionadas à resposta ao incidente e à remediação já haviam alcançado US$ 27 milhões, mas também observou que esperava que esse valor aumentasse conforme os esforços de investigação e remediação progredissem.
Dark Angels, a operação de ransomware por trás da violação de 2023 na Johnson Controls, surgiu em maio de 2022 quando começou a mirar organizações mundialmente em ataques de extorsão dupla.
Nesses ataques, o grupo rouba dados sensíveis e os usa para pressionar as vítimas sob a ameaça de publicá-los online em seu site de vazamento na dark web, chamado Dunghill Leaks.
Eles também implantam ransomware para criptografar todos os dispositivos na rede após ganhar acesso ao controlador de domínio Windows, usando criptografadores Windows e VMware ESXi baseados no código-fonte vazado do ransomware Babuk.
No entanto, o pesquisador de cibersegurança MalwareHunterTeam informou ao site BleepingComputer que o criptografador Linux usado no ataque à Johnson Controls era o mesmo que outros usados pelo ransomware Ragnar Locker desde 2021.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...