EDP atacada por €10 milhões em ransomware, Altice para divulgar 10 mil passwords

A EDP e a Altice sofreram esta semana ataques informáticos, num caso de ransomware e noutro com a divulgação de quase 10 mil contactos e passwords.

A EDP foi atacada na passada segunda-feira, 13 de Abril, por um grupo de hackers com um pedido de ransomware no valor de 1580, o equivalente a quase 10 milhões de euros.

Se este valor não for pago, os atacantes afirmam que a informação obtida será divulgada publicamente. Mas o presidente da empresa, António Mexia, afirmou desconhecer “qualquer pedido formal de resgate” e não sabia se tinham sido roubados dados sobre os seus clientes.

O ataque terá visado a rede corporativa e “condicionou o normal funcionamento de uma parte dos seus serviços e operações“.

Esta quinta-feira, António Mexia declarou que a EDP conseguiu proteger “o essencial” após o ataque, “nomeadamente o fornecimento de energia e informação relativamente aos clientes”. Já “a base de clientes funciona numa plataforma que não foi atacada, mas não quer dizer que não possa ter havido qualquer interferência”, referiu.

O presidente da empresa afirmou ainda que estas interferências seriam “marginais” porque “os nossos sistemas detectaram o ataque a tempo de protegermos o essencial”. Mas o ataque terá alegadamente permitido obter “registos de reuniões com o Governo e passaportes dos gestores” e “um dos directórios em que os ‘hackers’ entraram é o relativo à holding do grupo, contendo mais de dois milhões de ficheiros e 1,9 terabytes (TB) de dados, incluindo informação recente, até Março deste ano, sobre vários administradores”.

O volume de dados poderá ser muito maior, dado que os atacantes afirmam ter roubado mais de 10 TB de documentos dos servidores da empresa. Eles terão divulgado alguns ficheiros e capturas de ecrã com informação da EDP para demonstrarem a posse de informação da empresa. Alegaram ainda que a publicação online era confidencial mas pode vir a ser divulgada em público se o resgate não for pago.

O programa de ransomware usado terá sido o Ragnar_Locker, segundo informação obtida pelo MalwareHunterTeam e os dados são sobre “facturação, contratos, transacções, clientes e parceiros”.

O nome de um dos ficheiros, edpradmin2.kdb, levou à suposição de se tratar de uma base de dados de gestão de passwords da KeePass com “credenciais de ‘login’, contas, URLs e notas sobre os funcionários da EDP“. Trata-se de uma situação “perigosa” por poder permitir ataques de “spear phishing” aos recursos humanos da empresa.

A empresa confirmou que o ataque ocorreu a 13 de Abril mas os atacantes afirmam que a data de entrada nos sistemas da empresa será anterior, muito provavelmente a 6 de Abril.

Um preço especial seria feito se a EDP pagasse o resgate em dois dias. A EDP afirmou desconhecer o resgate mas o hacker ético Vitali Kremez disponibilizou imagens da nota do resgate.

Altice também foi atacada
A Altice foi igualmente vítima de um ataque informático esta semana. A operadora de telecomunicações revelou que “os serviços não foram muito afectados” e que as consequências do ataque “foram praticamente nulas”.

A CyberTeam, um grupo de hackers que afirma ter membros portugueses e brasileiros, assumiu a responsabilidade pelo ataque, divulgando um documento com cerca de 9.800 registos de utilizadores, endereço de email e passwords.

O ficheiro parece ser uma listagem parcial de funcionários (mais de um milhar de endereços termina em @telecom.pt) e de parceiros ou empresas com relações à operadora.

O documento foi disponibilizado no site Ghostbin após ter sido inicialmente colocado no site kiwisdeportugal.com. O acesso a este site foi interrompido e uma mensagem de erro remetia para o endereço apk.com.pt, da Associação Portuguesa de Kiwicultores. Aparentemente, não há qualquer relação entre este site e o ataque.

Aliás, o CyberTeam não reinvindicou nada nesse sentido, apesar de entre 16 de Janeiro e 13 de Abril deste ano, ter assumido a responsabilidade de 107 ataques, na sua maioria de alteração de homepages. Segundo um site de registo deste tipo de actividades, 63 desses ataques ocorreram após a entrada do estado de emergência a 16 de Março, quando os jovens passaram a estar mais tempo em casa.

O mesmo grupo afirma ter atacado o Banco de Portugal mas a instituição nega a alegação.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.