O San Francisco 49ers confirma que foi atacado horas antes do início do Super Bowl. A gangue de ransomware BlackByte assume a responsabilidade.
Em um comunicado oficial, a equipe disse que "recentemente tomou conhecimento de um incidente de segurança de rede" que causou uma interrupção em sua rede corporativa. O grupo roubou os documentos financeiros da equipe.
O porta-voz do San Francisco 49ers disse que, depois de saber do ataque cibernético, empresas de segurança cibernética terceirizadas foram envolvidas para conter o ataque, e as agências policiais também foram informadas.
“Enquanto a investigação está em andamento, acreditamos que o incidente está limitado à nossa rede corporativa de TI, até o momento, não temos indicação de que esse incidente envolva sistemas fora de nossa rede corporativa, como aqueles conectados às operações do Levi's Stadium de titulares de ingressos. À medida que a investigação continua, estamos trabalhando diligentemente para restaurar os sistemas envolvidos o mais rápido e seguro possível", disse o porta-voz do San Francisco 49ers.
Após o incidente, o San Francisco 49ers também apareceu no site da gangue de ransomware BlackByte no domingo. O grupo postou alguns documentos roubados da equipe na dark web em um arquivo chamado ‘Faturas de 2020'. A gangue do ransomware não fez nenhuma demanda de ransomware e não especificou quantos dados foram roubados.
O San Francisco 49ers apareceu no site oficial de vazamentos da BlackByte. (Imagem: ZDNet)
O ataque ao San Francisco 49ers ocorreu um dia após o aviso do FBI sobre a gangue de ransomware BlackByte. De acordo com o aviso do FBI:
“Em novembro de 2021, o ransomware BlackByte havia comprometido várias empresas americanas e estrangeiras, incluindo entidades em pelo menos três setores críticos de infraestrutura dos EUA (instalações governamentais, financeiras e alimentos e agricultura). BlackByte é um grupo Ransomware as a Service (RaaS) que criptografa arquivos em sistemas host Windows comprometidos, incluindo servidores físicos e virtuais.”
De acordo com o relatório do FBI, os agentes de ameaças usam vulnerabilidades do Microsoft Exchange para acessar redes. Uma vez que tenham acesso à rede, os hackers podem implantar várias ferramentas para se mover pela rede para ” escalar privilégios antes de criptografar arquivos “. Em alguns incidentes, o grupo de ransomware BlackByte tem apenas arquivos parcialmente criptografados.
Um relatório da Red Canary mostrou que o ransomware BlackByte obteve acesso à rede explorando as vulnerabilidades do ProxyShell no servidor Microsoft Exchange de um cliente. Essas vulnerabilidades incluem CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.
O grupo de ransomware BlackByte surgiu no ano passado com alvos de alto perfil nos EUA. A pesquisa da Trustwave mostrou que o ransomware BlackByte usa a mesma chave para criptografar arquivos roubados em AES. Em vez de usar uma chave exclusiva para cada sessão, o grupo usa a mesma chave. Trustwave também carregou um decodificador BlackByte no GitHub.
Segundo o FBI, a segunda versão do ransomware foi lançada em novembro. Brett Callow, especialista em ransomware da Emsisoft, disse que o BlackByte é uma operação de Ransomware como serviço (RaaS), e os agentes de ameaças que o usam para realizar ataques cibernéticos podem não estar necessariamente no mesmo país.
Callow disse que, como outros tipos de ransomware, ” o BlackByte não criptografa computadores que usam o idioma da Rússia e de países pós-soviéticos “. Ele disse que isso não significa que os atacantes por trás desse incidente estejam na Rússia. ” Qualquer um pode usar o malware para lançar ataques “, diz Callow.
Grupos de ransomware causaram estragos nos últimos meses com alvos de alto perfil. Alguns casos de destaque este mês incluem o ataque da Vodafone Portugal e ciberataque a portos belgas e holandeses.