Yamaha Motor confirma ataque cibernético à filial das Filipinas
22 de Novembro de 2023

A filial da Yamaha Motor nas Filipinas foi vítima de um ataque de ransomware no mês passado, resultando no furto e vazamento de informações pessoais de alguns empregados.

A fabricante de motocicletas está investigando o incidente com a ajuda de especialistas externos em segurança contratados depois que a violação foi detectada pela primeira vez em 25 de outubro.

"Um dos servidores geridos por [...] da filial de fabricação e vendas de motocicletas nas Filipinas, Yamaha Motor Philippines, Inc.

(YMPH), foi acessado sem autorização por terceiros e atingido por um ataque de ransomware, e um vazamento parcial de informações pessoais dos funcionários armazenadas pela empresa foi confirmado", disse a Yamaha em um comunicado.

"A YMPH e o centro de TI na sede da Yamaha Motor estabeleceram uma equipe de contramedidas e estão trabalhando para prevenir mais danos enquanto investigam o alcance do impacto, etc., e trabalham em uma recuperação junto com a contribuição de uma empresa externa de segurança na internet", acrescenta a nota.

A Yamaha relatou que os operadores da ameaça violaram um único servidor na Yamaha Motor Philippines e que o ataque não afetou a sede ou quaisquer outras filiais dentro do grupo Yamaha Motor.

A empresa disse ter notificado o incidente às autoridades filipinas e está atualmente trabalhando para avaliar toda a extensão do impacto do ataque.

Embora a empresa ainda não tenha atribuído o ataque a um grupo hacker específico, a gangue INC Ransom assumiu a autoria do ataque e vazou o que afirma ser dados roubados da rede da Yamaha Motor Philippines.

Os operadores da ameaça adicionaram a empresa ao seu site de vazamento na dark web na quarta-feira, 15, e desde então publicou diversos arquivos com cerca de 37 gigabytes (GB) de dados supostamente roubados contendo informações de identificação de funcionários, arquivos de backup e informações corporativas e de vendas, entre outros.

O INC Ransom apareceu em agosto deste ano e tem como alvo organizações de vários setores, como saúde, educação e governo, em ataques de extorsão dupla.

Desde então, o grupo adicionou 30 vítimas ao seu site de vazamento.

No entanto, o número de organizações violadas é provavelmente maior, já que apenas aquelas que se recusam a pagar o resgate enfrentam a divulgação pública e subsequentes vazamentos de dados.

Veja issoRansom Cartel é ligado ao grupo REvil sediado na RússiaPrincipal elétrica de Gana atingida por ransomware

Os operadores da ameaça obtêm acesso às redes dos alvos por meio de e-mails de spearphishing, mas também foram observados usando uma vulnerabilidade ( CVE-2023-3519 ) no Citrix NetScaler, de acordo com a SentinelOne.

Após obterem acesso, os hackers movem-se lateralmente pela rede, primeiro coletando e descarregando arquivos confidenciais para a chantagem do resgate e, em seguida, implementando ransomware para codificar sistemas comprometidos.

Além disso, os arquivos inc-readme.txt e inc-readme.html são automaticamente descartados dentro de cada pasta com arquivos criptografados.

As vítimas recebem um ultimato com prazo de 72 horas para entrarem em contato com os operadores da ameaça para negociações, caso contrário ameaçam divulgar publicamente todos os dados roubados no blog de vazamento do grupo.

Aqueles que acatam o pedido de resgate também recebem garantias de que serão ajudados a decifrar seus arquivos.

Além disso, os invasores se comprometem a fornecer detalhes sobre o método de ataque inicial, orientação sobre como proteger suas redes, provas de destruição de dados e uma "garantia" de que não serão atacados novamente pelos operadores do INC Ransom.

Confira o comunicado da Yamaha, em inglês, sobre o ciberataque.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...