A Johnson Controls, uma gigante multinacional na área da automação de edifícios, está finalmente a notificar os indivíduos cujos dados foram roubados durante um massivo ataque de ransomware que abalou as operações da empresa a nível mundial em setembro de 2023. A empresa, que emprega mais de 100.000 pessoas e reportou vendas de 27,4 mil milhões de dólares (cerca de 25,4 mil milhões de euros) em 2024, foi forçada a desligar grande parte da sua infraestrutura de TI após o ataque.
Um ataque silencioso com consequências devastadoras
Embora o ataque tenha sido publicamente revelado em setembro de 2023, a investigação revelou que a intrusão foi muito mais prolongada. Em cartas de notificação de violação de dados submetidas à Procuradoria-Geral da Califórnia, a empresa admite: "Com base na nossa investigação, determinámos que um ator não autorizado acedeu a certos sistemas da Johnson Controls de 1 de fevereiro de 2023 a 30 de setembro de 2023 e retirou informação desses sistemas."
O ataque terá começado com uma brecha nos escritórios asiáticos da empresa, obrigou ao encerramento de sistemas críticos, afetando as operações globais e as plataformas voltadas para o cliente.
Um resgate milionário e 27 TB de dados roubados
Numa comunicação à SEC (Comissão de Valores Mobiliários dos EUA) em janeiro de 2024, a Johnson Controls confirmou que o incidente foi orquestrado por um grupo de ransomware que também exfiltrou documentos dos sistemas comprometidos.
Apesar de a empresa não ter nomeado oficialmente os responsáveis, o ataque foi associado ao grupo de ransomware Dark Angels. Foi reportado que os atacantes exigiram um resgate de 51 milhões de dólares (aproximadamente 47 milhões de euros) para fornecer uma ferramenta de desencriptação e para apagar os dados roubados. Os cibercriminosos reivindicaram o roubo de mais de 27 terabytes (TB) de documentos corporativos e encriptaram as máquinas virtuais VMware ESXi da empresa.
Quem são os Dark Angels?
O grupo de ransomware Dark Angels surgiu em maio de 2022, especializando-se em ataques de dupla extorsão. Nesta tática, os criminosos não só encriptam os dados da vítima, mas também os roubam, ameaçando publicá-los no seu site na dark web, conhecido como "Dunghill Leaks", para pressionar ao pagamento do resgate.
Os seus métodos envolvem o uso de encriptadores para Windows e VMware ESXi baseados no código-fonte do ransomware Babuk, que foi divulgado publicamente.
Os custos da recuperação
Até ao momento do ataque, a Johnson Controls já tinha acumulado despesas de 27 milhões de dólares (cerca de 25 milhões de euros) relacionadas com a resposta ao incidente e remediação. A empresa salientou, no entanto, que esperava que este valor aumentasse à medida que a investigação e os esforços de recuperação continuassem. Após ter conhecimento do incidente, a empresa afirma ter terminado o acesso do ator não autorizado, contratado especialistas externos em cibersegurança e notificado as autoridades.
Nenhum comentário
Seja o primeiro!