Fornecedor de energia colombiano EPM atingido por ataque de ransomware BlackCat

Ataque

A EPM é uma das maiores fornecedoras públicas de energia, água e gás da Colômbia, prestando serviços a 123 municípios. A empresa gerou mais de US$ 25 bilhões em receita em 2022 e pertence ao município colombiano de Medellín.

Na terça-feira, a empresa disse a aproximadamente 4.000 funcionários para trabalhar em casa, com a infraestrutura de TI inativa e os sites da empresa indisponíveis.

A EPM divulgou à mídia local que estava respondendo a um incidente de segurança cibernética e forneceu métodos alternativos para os clientes pagarem pelos serviços.

O Ministério Público confirmou posteriormente ao EL COLOMBIANO que o ransomware estava por trás do ataque ao EPM que causou a criptografia de dispositivos e o roubo de dados.

No entanto, a operação de ransomware por trás do ataque não foi divulgada.

Ransomware BlackCat por trás do ataque

Desde então, o BleepingComputer descobriu que a operação de ransomware BlackCat, também conhecida como ALPHV, estava por trás dos ataques, alegando ter roubado dados corporativos durante os ataques.

O BleepingComputer também viu a amostra do criptografador e as notas de resgate do ataque EPM e confirmou que são da operação de ransomware BlackCat.

Embora a nota de resgate criada no ataque afirme que os agentes da ameaça roubaram uma grande variedade de dados, deve-se observar que esse é o texto exato usado em todas as notas de resgate do BlackCat e não é específico do EPM.

No entanto, outras descobertas indicam que os hackers provavelmente roubaram muitos dados do EPM durante o ataque.

O pesquisador de segurança chileno Germán Fernández descobriu uma amostra recente da ferramenta de roubo de dados ‘ExMatter’ da BlackCat, enviada da Colômbia para um site de análise de malware.

ExMatter é uma ferramenta usada em ataques de ransomware BlackCat para roubar dados de redes corporativas antes que os dispositivos sejam criptografados. Esses dados são usados ​​como parte das tentativas de dupla extorsão da gangue do ransomware.

Quando a ferramenta é executada, ela rouba dados de dispositivos na rede e os armazena em servidores controlados por invasores em pastas com o nome do computador Windows do qual foi roubado.

Ao analisar a ferramenta ExMatter, Fernández descobriu que ela carregava os dados para um servidor remoto que não estava adequadamente protegido, permitindo que qualquer visitante visse os dados armazenados nele.

Na variante ExMatter da Colômbia, os dados foram carregados em várias pastas começando com ‘EPM-‘, conforme mostrado abaixo. Fernández disse ao BleepingComputer que esses nomes de computador correspondem aos formatos de nomeação de computador conhecidos usados ​​pelas Empresas Públicas de Medellín.

Embora não esteja claro quantos dados totais foram roubados, Fernández disse ao BleepingComputer que havia pouco mais de 40 dispositivos listados no site.

A BleepingComputer entrou em contato com a EPM para saber mais sobre o ataque e quantos dados foram roubados, mas uma resposta não estava disponível imediatamente.

Esta não é a primeira vez que um ataque de ransomware atinge uma empresa de energia colombiana.

Em 2020, o Grupo Enel sofreu um ataque de ransomware duas vezes no mesmo ano.

A Colômbia também viu um aumento nos ataques nos últimos meses, com o sistema de saúde do país interrompido no mês passado por um ataque da RansomHouse à Keralty , uma organização multinacional de saúde.