Ao que parece, o crime compensa. Pelo menos depois de ter saído a informação que a Garmin terá pago “uns milhões” para se livrar do ataque à sua estrutura é a vez da Canon. Segundo informações, os dados e sistemas pertencentes à empresa de tecnologia japonesa Canon estão a ser mantidos como reféns.
A empresa nipónica poderá ter sido roubada e 10 TB de dados da empresa desviados, colocando a empresa em paralisação.
Canon está a ser atacada pelo ransomware Maze
Segundo relatos da BleepingComputer, foram roubados 10 TB de informação à Canon que obrigou a empresa a parar os seus serviços. Mais de duas dúzias de domínios de propriedade da empresa foram afetados pela interrupção. O site da Canon nos EUA atualmente diz que está em manutenção, embora os seus sites global e japonês não pareçam afetados.
Um e-mail interno da Canon IT referiu que a empresa está a enfrentar “problemas de sistema generalizados que afetam várias aplicações, equipas, e-mail e outros sistemas podem não estar disponíveis no momento”. O BleepingComputer também obteve uma imagem da suposta nota de resgate enviada à Canon, que identifica o ransomware Maze usado no ataque.
Ao contrário do ransomeware WastedLocker supostamente usado no ataque Garmin, o malware Maze criptografa sistemas internos e exfiltra dados. Quer isto dizer, que os sistemas são atacados e são retirados ilegalmente os dados sensíveis à operação da empresa.
Conforme foi relatado, o grupo de hackers por trás do ataque Maze disse que roubou “10 terabytes de dados, bases de dados privadas, etc.” da Canon. Os dados podem acabar em sites de partilha e venda de dados roubados se a Canon se recusar a pagar o resgate.
Como funciona o ransomware Maze que atacou a Canon?
Há mais de uma versão do ransomware Maze (a versão anterior também é denominada Maze). A nova versão foi descoberta por nao_sec. Os programas do tipo ransomware cifram dados e criam mensagens de resgate que contêm informações sobre como decifrar ficheiros.
Contudo, as vítimas geralmente não podem recuperar o acesso aos seus ficheiros sem ferramentas mantidas apenas pelos programadores do ransomware. Esta variante do Maze não cifra ficheiros se detetar o ficheiro “C:\hutchins.txt” no sistema. Se este não for o caso, o Maze cifra ficheiros, renomeia-os adicionando uma extensão aleatória (por exemplo, “1.jpg” que se torna “1.jpg.sA16PA”), cria o ficheiro “DECRYPT-FILES.txt” e altera o fundo de ambiente de trabalho.
O crime compensa?
O assunto não é fácil de tratar. Aliás, conforme vimos desde há duas semanas, a Garmin viu-se envolvida num esquema e só com o pagamento conseguiu libertar os seus dados. O resgate pedido foi de 10 milhões de dólares, mas não se sabe se foi exatamente esse o valor pago pela empresa americana aos hackers russos.