A gigante de tecnologia japonesa Olympus, conhecida por fabricar tecnologia de cópia digital e óptica, foi atingida por um ataque de ransomware do grupo BlackMatter.
De acordo com um comunicado da Olympus, há uma investigação em andamento sobre um "potencial incidente de segurança cibernética" que afetou suas redes de computadores na África, Oriente Médio e Europa.
A declaração ainda declarou:
“Após a detecção de atividades suspeitas, mobilizamos imediatamente uma equipe de resposta especializada, incluindo especialistas forenses, e atualmente estamos trabalhando com a mais alta prioridade para resolver esse problema. Como parte da investigação, suspendemos as transferências de dados nos sistemas afetados e informamos os parceiros externos relevantes".
De acordo com alguém que sabe sobre o ataque, a Olympus está se recuperando de ataques de ransomware iniciados no início da manhã de 8 de setembro. A pessoa que sabia sobre o ataque compartilhou as especificidades da cena muito antes da própria Olympus reconhecer no domingo.
Havia uma nota de ransomware nos computadores infectados direcionada ao grupo BlackMatter.
A nota dizia: “Sua rede está criptografada e não está operacional no momento", “Se você pagar, forneceremos os programas para descriptografia”. Ele incluiu ainda um endereço de site que só poderia ser aberto usando o The Onion Router (navegador Tor), que o BlackMatter usa para conversar com seu paciente.
O analista de ameaças e especialista em ransomware da Emsisoft, Brett Callow, confirmou ao TechCrunch que a nota estava vinculada ao grupo BlackMatter.
Novo: a Olympus diz que está investigando um ataque cibernético em suas redes de TI da EMEA. Uma nota de resgate deixada em computadores infectados sugere que ele foi atingido pelo ransomware BlackMatter. https://techcrunch.com/2021/09/12/technology-giant-olympus-hit-by-blackmatter-ransomware/
— Zack Whittaker (@zackwhittaker) 12 de setembro de 2021
BlackMatter, um sucessor de vários grupos de ransomware (por exemplo, DarkSide), é um grupo de ransomware como serviço que recentemente retornou do submundo do cibercriminoso após um ataque de alto perfil ao Colonial Pipeline, e REvil, que ficou quieto por muitos meses depois que um número significativo de empresas foi inundado com ransomware no ataque Kaseya.
No entanto, esses ataques maciços chamaram a atenção do governo dos EUA, que prometeu agir se a infraestrutura crítica fosse comprometida novamente. Joe Biden até organizou uma reunião de segurança cibernética para conter esse pico atual.
A BlackMatter e outros grupos alugam o acesso à infraestrutura que os afiliados usam para ataques, dentro da qual a BlackMatter deduz sua parte do resgate extorquido. A Emsisoft também descobriu links técnicos e códigos sobrepostos entre DarkSide e BlackMatter.
Com esse grupo de ransomware surgindo em junho, a Emsisoft registrou mais de 40 ataques de ransomware vinculados ao BlackMatter. No entanto, é provável que o número total de doentes seja muito maior.
BlackMatter e outros grupos de ransomware geralmente roubam os dados de uma empresa antes de criptografar sua rede e ameaçam a empresa de publicar seus arquivos online caso o resgate não seja pago.
A BlackMatter tem outro site conectado a ela que usa para divulgar suas vítimas e os dados roubados. Mas, no momento do anúncio, o site não tinha entrada para a Olympus.
De acordo com a Olympus, estava “atualmente trabalhando para determinar a extensão do problema e continuará a fornecer atualizações à medida que novas informações estiverem disponíveis”.
Um porta-voz da Olympus, Christian Pott, não respondeu a nenhum e-mail ou texto solicitando comentários.