A empresa de grãos NEW Cooperative Inc., com sede em Iowa, foi atingida por um ataque de ransomware, forçando a empresa a desligar seu sistema para combater o ataque. O grupo BlackMatter por trás do ataque exigiu o resgate de US $ 5,9 milhões, em relação ao público, pois pode afetar a cadeia de suprimentos nos EUA, causando uma potencial escassez de alimentos.
A NOVA Cooperativa confirmou que foi atingida e disse que está em contato com as autoridades para remediar a situação o mais rápido possível antes que afete a cadeia de suprimentos.
Detalhes do ataque do BlackMatter Ransomware
O grupo de ransomware BlackMatter está exigindo US$ 5,9 milhões da NEW Cooperative, de acordo com uma captura de tela compartilhada online por analistas de ameaças. Em um bate-papo privado de negociação de um NOVO representante da Cooperativa com a BlackMatter, a quadrilha diz que não atingiu a infraestrutura crítica. O representante da NOVA Cooperativa disse ainda:
“Seu site diz que você não ataca infraestrutura crítica. Somos uma infraestrutura crítica… nos entrelaçamos com a cadeia de suprimentos de alimentos nos EUA. Se não conseguirmos nos recuperar muito em breve, haverá uma interrupção muito pública na cadeia de suprimentos de grãos, suínos e frangos. Cerca de 40% da produção de grãos é executada em nosso software… isso interromperá a cadeia de suprimentos muito em breve…."
O representante disse ainda que se eles não resolverem isso em breve, e isso atrapalhar a cadeia de suprimentos, a CISA terá que intervir se os sistemas da NOVA Cooperativa não entrarem online.
A BlackMatter respondeu que as empresas agrícolas não se enquadram na categoria de “infraestrutura crítica". A Ars Technica notou no site de vazamento Tor da BlackMatter que o grupo não ataca hospitais, indústria de petróleo, gás, indústria de defesa, organizações sem fins lucrativos, setores governamentais e “instalações de infraestrutura crítica”. Essas indústrias incluem usinas nucleares, instalações de tratamento de água e usinas de energia.
A gangue de ransomware BlackMatter afirma que não ataca infraestrutura crítica (Ars Technica)
“Eu não estou ameaçando você. Isso está praticamente fora de nossas mãos. Não podemos controlar o que os reguladores e o governo dos EUA [fazem]. O impacto desse ataque provavelmente será muito pior do que o ataque do pipeline por contexto, e não temos como controlar isso, dada a interrupção que isso já causou”, uma NOVA Cooperativa. Inc disse à gangue do ransomware.
A Ars Technica também notou que o projeto SOILMAP da empresa também está indisponível desde o ataque. SOILMAP é uma solução de software que oferece diversos recursos como teste de solo, mapeamento e contabilidade de fornecedores para agilizar o processo.
Os agentes de ameaças também alegaram ter roubado o código-fonte do projeto SOILMAP, informações de funcionários, documentos financeiros e resultados de P&D.
Página de vazamento de dados não públicos do projeto SOILMAP da NOVA Cooperativa (Bleepingcomputers)
Gangue do BlackMatter Ransomware
O BlackMatter surgiu logo após o Darkside, e as gangues de ransomware REvil desapareceram em julho após ataques cibernéticos à Kaseya e Colonial Pipeline. Jake Williams, cofundador da BreachQuest, diz:
“O BlackMatter parece ser um spin-off do grupo REvil e vem recrutando ativamente para acessos iniciais às redes de vítimas nos últimos meses. Embora o grupo diga que não terá como alvo “instalações de infraestrutura crítica”, a definição que o grupo usa em seu blog é diferente da definição de infraestrutura crítica do governo dos EUA, que inclui a NOVA Cooperativa”.
Curiosamente, esse ataque à NOVA Cooperativa ocorreu após a reunião do presidente Biden com os CEOs das gigantes da tecnologia e sua declaração pública sobre os cibercriminosos da Rússia prejudicando a infraestrutura dos EUA. Se realmente for uma resposta ao aviso do presidente Biden, então isso pode ser apenas o começo de uma série de ataques que estão por vir.
Este foi o segundo ataque dessa gangue em setembro, quando a BlackMatter atacou a Olympus, uma gigante de tecnologia japonesa, em 8 de setembro. A Emisoft também registrou mais de 40 ataques de ransomware vinculados a esse agente de ameaças.
Os ataques de ransomware têm aumentado constantemente, sendo as organizações dos EUA o principal alvo dos criminosos. No mês passado, a T-Mobile e a AT&T também enfrentaram ataques de ransomware. Este ataque à NOVA Cooperativa é muito semelhante ao ataque de ransomware da REvil à JBS, a maior processadora de carne do mundo, obrigando a empresa a pagar um resgate de US$ 11 milhões.
Hank Schless, gerente sênior da Lookout, uma segurança de endpoint para nuvem com sede na Califórnia, diz:
“Isso deve servir como um alerta para todas as organizações que precisam agir para se proteger. As declarações do presidente sobre esses tipos de ataques fizeram um trabalho fantástico ao transmitir a importância da segurança cibernética, mas cabe às organizações colocar essas palavras em ações e reforçar suas defesas.”