Criminosos exigem 10 milhões de euros depois de ataque ransomware à EDP.

A notícia tem sido adiantada em Portugal por alguns canais media, onde é mencionado que a gigante de eletricidade portuguesa Energias de Portugal (EDP) sofreu um ataque informático e os criminosos estão agora a pedir um resgate de 10 milhoẽs de euros.

Segundo consta, a EDP sofreu o ataque informático na manhã de 13 de abril, e isso está a afetar os sistemas de atendimento ao cliente.

Os sistemas de informação da EDP foram parcialmente bloqueados, mas os dados dos clientes não terão sido violados, nem os sistemas de abastecimento da rede de energia estarão em risco.

Segundo adiantou o JN, “os hackers conseguiram entrar num servidor da elétrica nacional e sacar um manancial ainda não quantificado de informação, que pode ser sensível.

 

Num fórum da dark web foi feita uma publicação durante o dia onde são reclamados 1580 bitcoins pelos criminosos – o equivalente a 9.8 milhões de euros.

 

Os criminosos dizem ainda na publicação que irão aguardar 3 dias pelo pagamento do resgate até que os detalhes sejam tornados públicos.

Nas mesmas publicações, aparentemente destinadas a demonstrar que estão efetivamente na posse de informação sensível, os hackers divulgam o nome de pastas informáticas sacadas do servidor. São pastas de recursos humanos e de finanças por exemplo.

 

De acordo com MalwareHunterTeam, foram divulgadas imagens de um pedido de ransomware por parte da entidade que terá realizado os ataques contra os sistemas da EDP. No pedido de resgate, os criminosos dizem que conseguiram infiltrar-se na rede interna da empresa, encriptando os ficheiros através do ransomware “RagnarLocker”.

Este ransomware é bem conhecido por ser direccionado a empresa e entidades importantes do setor público, e pode ter entrado na rede interna da empresa através das ferramentas de suporte que estavam a ser atacadas inicialmente – e das quais a EDP confirmou estar a ser realizado o ataque das mesmas.

 

 

De forma a comprovar o incidente e a posse dos detalhes, os criminosos mostraram algumas imagens de ficheiros sensíveis da EDP. Apesar de não serem visíveis todos os ficheiros, é possível observar que existe informação potencialmente acedida, incluindo dados dos clientes e parceiros.

 

Segundo o que o SI-LAB apurou, o ataque informático ocorreu semanas antes do dia 13 de abril. A prova disso é a data de upload dos primeiros samples deixados pelos criminosos: dia 6 de abril de 2020.

 

A página de resgate que terá sido enviada para a EDP confirma que estão a ser pedidos 1580 bitcoins para que a informação não seja partilhada dentro dos próximos dias. Tendo em conta a cotação atual dos bitcoins, isto corresponde a aproximadamente 10 milhões de euros para que a informação não seja divulgada publicamente.

 

Como podemos visualizar, a carteira bitcoin associada ainda não possui nenhum pagamento realizado. Na página do ransomware, onde se encontra localizado um sistema de chat para conversa direta com os atacantes, também não aparenta existir resposta por parte da EDP ao ataque

 

Ainda sem grandes detalhes revelados por parte da EDP, que mantém a mesma postura referindo que não detém qualquer conhecimento sobre pedidos de resgate, sabe-se que este foi um ataque via ransomware (Ransom:Win32/RagnarLocker!MSR) e que os criminosos têm agora em sua possa dados sensíveis do grupo.

Apesar da dificuldade em detetar os pontos de entrada/vulnerabilidades, a CNPD já foi notificada do incidente apesar de não se conhecer que informação e de que tipo foi afetada.

 

Em Portugal têm sido notados diversos ataques desta linha desde o último ano. Um dos cocktails utilizados pelos criminosos para invadir organizações e violar os seus dados tem sido a triple chain: EMOTET+Trickbot+Ryuk.

Geralmente, os criminosos infetam um ou mais computadores sem privilégios na floresta do Active Directory (AD) através de phishing, onde mais tarde implantam uma backdor via outro estágio  (e.g., trickbot).

A partir daqui é então possível enumerar a floresta de AD’s de uma organização e obter o caminho mais curto até determinado alvo (um computador alvo ou o próprio domain controler). Aqui os criminosos, uma vez com acesso à rede via uma conta de domínio sem privilégios, tiram partido de vulnerabilidades de configuração da infraestrutura para chegar ao seu objetivo, seja ele um servidor, um periférico de rede, ou outro.

Para finalizar o ataque, os criminosos lançam o ataque ransomware para fechar a chain solicitando um resgate à organização baseado na sua dimensão e também no tipo de dados exfiltrados.

Até ao momento, ainda não existem detalhes técnicos sobre o ataque por parte da EDP. Sabe-se que o ransomware utilizado foi o RagnarLocker e que existem cerca de 10TB de dados na posse dos criminosos.

O nome associado ao grupo de criminosos também não é conhecido, mas sabe-se que o grupo exfiltrou detalhes de outras organizações como:

Leakage from company Catania, Mahon & Rider, PLLC
Leaks from company EDP Group
Leaks Company Birch Communications inc.

 

 

Detalhes técnicos sobre o ransomware – RagnarLocker

Vitali Kremez, numa publicação no Twitter, refere ainda que este malware detém alguns mecanismos de prevenção: Remote Service Killer (Prevent Easy Recovery) + Backup & Database:
LogMein | ConnectWise | Splashtop| Pulseway.


Image

Insight: The #ransomware leverages “.keys” PE section to store config details.

Sample EDP: www.virustotal.com/gui/file/68eb2d2d7866775d6bf106a914281491d23769a9eda88fc078328150b8432bb3/detection

 

Neste momento o grupo EDP tem feito um esforço para a identificação de IOCs sobre o ataque e tem dado prioridade à recuperação de serviços críticos da sua infraestrutura, dando total prioridade aos serviços de autenticação.

A empresa já reportou o ataque às autoridade e os piratas informáticos estarão a exigir um resgate para libertarem a informação encriptada de dez milhões de euros.

 

Yara Rule

////////////////////////////////////////////////////////
///////////////////// RAGNALOCKER //////////////////////
////////////////////////////////////////////////////////

import "pe"

rule crime_win32_ransom_ragnarlocker_1 {
meta:
  description = "Detects RagnarLocker"
  author = "@VK_Intel"
  tlp = "white"
  date = "2020-04-15"

strings:
    $str1 = ".ragnar_" wide
    $str2 = "RGNR_" wide
    $str3 = "---RAGNAR SECRET---"

    $section = ".keys"

    $start_code = { 53 8b dc 83 ec 08 83 e4 f0 83 c4 04 55 8b ?? ?? 89 ?? ?? ?? 8b ec b8 08 24 00 00 e8 ?? ?? ?? ?? 56 57 e8 ?? ?? ?? ?? 8d ?? ?? c7 ?? ?? ?? ?? ?? ?? 50 8d ?? ?? ?? ?? ?? c7 ?? ?? ?? ?? ?? ?? 50 ff ?? ?? ?? ?? ?? 8d ?? ?? 50 8d ?? ?? ?? ?? ?? 50 ff ?? ?? ?? ?? ?? 68 c0 81 40 00 8d ?? ?? ?? ?? ?? 50 ff ?? ?? ?? ?? ?? 68 00 82 40 00 68 c0 81 40 00 e8 ?? ?? ?? ?? 68 18 82 40 00 68 30 82 40 00 8b f8 e8 ?? ?? ?? ?? 83 c4 10 8b f0 8d ?? ?? ?? ?? ?? 57 50 a1 ?? ?? ?? ?? ff d0 56 8d ?? ?? ?? ?? ?? 50 ff ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 50 8d ?? ?? ?? ?? ?? 50 ff ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 50 8d ?? ?? ?? ?? ?? 50 ff ?? ?? ?? ?? ?? 8d ?? ?? ?? ?? ?? 50 e8 ?? ?? ?? ?? 89 ?? ??}


condition:
  ( uint16(0) == 0x5a4d and
  ( 4 of them )
  ) or ( all of them )
  }

 

Ransom note

*****************************************************************************************************************
                                              HELLO EDP.com !
 If you reading this message, then your network was PENETRATED and all of your files and data has been ENCRYPTED
                             
                                              by RAGNAR_LOCKER !

*****************************************************************************************************************

                                              !!!!! WARNING !!!!!

DO NOT Modify, rename, copy or move any files or you can DAMAGE them and decryption will be impossible.
DO NOT use any third party or public decryption software, it also may damage files.
DO NOT Shutdown or reset your system
-------------------------------------

There is ONLY ONE possible way to get back your files - contact us and pay for our special decryption key !
For your GUARANTEE we will decrypt 2 of your files FOR FREE, as a proof of our capabilities

Don't waste your TIME, the link for contacting us will be deleted if there is no contact made in closest future and you will never restore your DATA.
HOWEVER if you will contact us within 2 day since get penetrated - you can get a very SPECIAL PRICE.

ATTENTION !
We had downloaded more than 10TB of data from your fileservers and if you don't contact us for payment, we will publish it or sell to interested parties.
Here is just a small part of your files that we have, for a proof (use Tor Browser for open the link) : http://xxxxxxxxxxxxxxxxx

We gathered the most sensitive and confidential information about your transactions, billing, contracts, clients and partners. And be assure that if you wouldn't pay,
all files and documents would be publicated for everyones view and also we would notify all your clients and partners about this leakage with direct links.
So if you want to avoid such a harm for your reputation, better pay the amount that we asking for.

==============================================================================================================
! HERE IS THE SIMPLE MANUAL HOW TO GET CONTACT WITH US VIA LIVE CHAT !
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

a) Download and install TOR browser from this site : https://xxxxxxxxxxxx
b) For contact us via LIVE CHAT open our website : http:/xxxxxxxxxxxxxxxxxxxxxxxxx
c) For visit our NEWS PORTAL with your data, open this website : http://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
d) If Tor is restricted in your area, use VPN

When you open LIVE CHAT website follow rules :

Follow the instructions on the website.
At the top you will find CHAT tab. 
Send your message there and wait for response (we are not online 24/7, So you have to wait for your turn).



***********************************************************************************

---RAGNAR SECRET---
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
---RAGNAR SECRET---

***********************************************************************************

 


One Reply to “Criminosos exigem 10 milhões de euros depois de ataque ransomware à EDP”

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *