A Toyota Financial Services (TFS) confirmou que detectou acesso não autorizado em alguns de seus sistemas na Europa e África, após o ransomware Medusa reivindicar um ataque à empresa.
A Toyota Financial Services, uma subsidiária da Toyota Motor Corporation, é uma entidade global com presença em 90% dos mercados onde a Toyota vende seus carros, fornecendo financiamento automotivo para seus clientes.
Hoje mais cedo, o grupo de ransomware Medusa listou a TFS em seu site de vazamento de dados na dark web, exigindo um pagamento de 8 milhões de dólares para deletar dados supostamente roubados da empresa japonesa.
Os atores da ameaça deram à Toyota 10 dias para responder, com a opção de estender o prazo por 10.000 dólares por dia.
Embora a Toyota Finance não tenha confirmado se os dados foram roubados no ataque, os atores da ameaça afirmam ter exfiltrado arquivos e ameaçam com um vazamento de dados se o resgate não for pago.
Para provar a intrusão, os hackers publicaram dados de amostra que incluem documentos financeiros, planilhas, faturas de compra, senhas de conta criptografadas, IDs de usuário e senhas em texto simples, acordos, varreduras de passaporte, gráficos de organização interna, relatórios de desempenho financeiro, endereços de email de funcionários e mais.
O Medusa também fornece um arquivo .TXT com a estrutura da árvore de arquivos de todos os dados que eles afirmam ter roubado dos sistemas da Toyota.
A maioria dos documentos está em alemão, indicando que os hackers conseguiram acessar os sistemas que atendem às operações da Toyota na Europa Central.
O BleepingComputer entrou em contato com o fabricante de automóveis japonês para comentar sobre os dados vazados e um porta-voz da empresa fornecer o seguinte comunicado:
Em relação ao status dos sistemas impactados e sua estimativa de retorno às operações normais, o porta-voz nos disse que o processo de retorno dos sistemas já está em andamento na maioria dos países.
Hoje mais cedo, após a divulgação da TFS como vítima da Medusa, o analista de segurança Kevin Beaumont destacou que o escritório alemão da empresa tinha um ponto de acesso Citrix Gateway exposto à internet, que não havia sido atualizado desde agosto de 2023, indicando que era vulnerável ao problema de segurança crítico Citrix Bleed (
CVE-2023-4966
).
Alguns dias atrás, foi confirmado que os operativos do ransomware Lockbit estavam usando exploits disponíveis publicamente para o Citrix Bleed para obter violações contra o Industrial and Commercial Bank of China (ICBC), DP World, Allen & Overy e Boeing.
É possível que outros grupos de ransomware tenham começado a explorar o Citrix Bleed, aproveitando a superfície de ataque massiva estimada em vários milhares de pontos de acesso.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...