Pode parecer um cliché mas… o crime parece compensar, dado que todos os meses têm sido atacadas grandes empresas com milhões de dólares de pedidos de resgate dos seus dados. Depois da Garmin, da Canon e de outras deste calibre, parece ser a vez da Swatch estar debaixo de fogo. Segundo o que foi reportado, o grupo suíço fabricante de relógios fechou a sua estrutura tecnológica para poder avaliar o ataque que foi perpetrado contra o seu sistema.
O Swatch Group é uma organização suíça muito conhecida no fabrico de relógios coloridos. A empresa emprega mais de 36.000 pessoas com 9,6 mil milhões de dólares em receita em 2019.
Estará a Swatch a ser vítima de um ataque de ransomware?
Conforme o comunicado ao site Borncity, o Swatch Group afirmou que detetou um ciberataque no fim de semana e desligou o seu sistema de TI para evitar a propagação do ataque.
O Swatch Group confirma que identificou sinais claros de um ataque cibernético em desenvolvimento em alguns dos seus sistemas de TI durante o fim de semana. Por razões de segurança, o Grupo imediatamente agiu e desligou por precaução alguns dos seus sistemas de TI, o que afetou algumas operações.
O Grupo Swatch avaliou e analisou imediatamente a natureza do ataque, tomou as medidas adequadas e implementou as correções necessárias. A situação voltará ao normal assim que possível. O Grupo fabricante dos relógios irá, obviamente, apresentar uma queixa criminal.
Referiu a Swatch num comunicado.
O Swatch Group não entrou em detalhes sobre o tipo de ataque que sofreu, mas provavelmente foi um ataque de ransomware.
Milhões para libertar os dados das empresas atacadas
A Garmin, no dia 23 de julho, sofreu um ataque por ransomware que afetou vários serviços. Com os seus dados cifrados e inacessíveis, estava a ser pedido um resgate por parte dos atacantes no valor de 10 milhões de dólares. Contudo, dias mais tarde, já com os serviços repostos, algumas informações apontavam para uma resolução “em segredo”, onde a Garmin poderá ter recuperado os seus dados depois de ter pago “vários milhões de dólares” pelo resgate.
No mês seguinte, no início de agosto, no alvo esteve a Canon. A empresa nipónica poderá ter sido roubada e 10 TB de dados da empresa desviados, colocando a empresa em paralisação.
Como funciona o ransomware Maze que atacou a Canon?
Há mais de uma versão do ransomware Maze (a versão anterior também é denominada Maze). A nova versão foi descoberta por nao_sec. Os programas do tipo ransomware cifram dados e criam mensagens de resgate que contêm informações sobre como decifrar ficheiros.
Contudo, as vítimas geralmente não podem recuperar o acesso aos seus ficheiros sem ferramentas mantidas apenas pelos programadores do ransomware. Esta variante do Maze não cifra ficheiros se detetar o ficheiro “C:\hutchins.txt” no sistema. Se este não for o caso, o Maze cifra ficheiros, renomeia-os adicionando uma extensão aleatória (por exemplo, “1.jpg” que se torna “1.jpg.sA16PA”), cria o ficheiro “DECRYPT-FILES.txt” e altera o fundo do ambiente de trabalho.
São várias as empresas já na mira de organizações criminosas. Mesmo em Portugal alguns casos têm sido reportados. Assim, nunca é demais alertar para a segurança dos sistemas, as cópias de segurança em várias plataformas (locais e na cloud) e ter atenção ao que chega pelo correio eletrónico.
Leia também: