Fornecedor de energia colombiano EPM atingido por ataque de ransomware BlackCat

A empresa colombiana de energia Empresas Públicas de Medellín (EPM) sofreu um ataque de ransomware BlackCat/ALPHV na segunda-feira, interrompendo as operações da empresa e derrubando os serviços online.
Compartilhe

Ataque

A EPM é uma das maiores fornecedoras públicas de energia, água e gás da Colômbia, prestando serviços a 123 municípios. A empresa gerou mais de US$ 25 bilhões em receita em 2022 e pertence ao município colombiano de Medellín.

Na terça-feira, a empresa disse a aproximadamente 4.000 funcionários para trabalhar em casa, com a infraestrutura de TI inativa e os sites da empresa indisponíveis.

A EPM divulgou à mídia local que estava respondendo a um incidente de segurança cibernética e forneceu métodos alternativos para os clientes pagarem pelos serviços.

O Ministério Público confirmou posteriormente ao EL COLOMBIANO que o ransomware estava por trás do ataque ao EPM que causou a criptografia de dispositivos e o roubo de dados.

No entanto, a operação de ransomware por trás do ataque não foi divulgada.

Ransomware BlackCat por trás do ataque

Desde então, o BleepingComputer descobriu que a operação de ransomware BlackCat, também conhecida como ALPHV, estava por trás dos ataques, alegando ter roubado dados corporativos durante os ataques.

O BleepingComputer também viu a amostra do criptografador e as notas de resgate do ataque EPM e confirmou que são da operação de ransomware BlackCat.

Nota de resgate EPM do ransomware BlackCat
Nota de resgate EPM do ransomware BlackCat
Fonte: BleepingComputer

Embora a nota de resgate criada no ataque afirme que os agentes da ameaça roubaram uma grande variedade de dados, deve-se observar que esse é o texto exato usado em todas as notas de resgate do BlackCat e não é específico do EPM.

No entanto, outras descobertas indicam que os hackers provavelmente roubaram muitos dados do EPM durante o ataque.

O pesquisador de segurança chileno Germán Fernández descobriu uma amostra recente da ferramenta de roubo de dados ‘ExMatter’ da BlackCat, enviada da Colômbia para um site de análise de malware.

ExMatter é uma ferramenta usada em ataques de ransomware BlackCat para roubar dados de redes corporativas antes que os dispositivos sejam criptografados. Esses dados são usados ​​como parte das tentativas de dupla extorsão da gangue do ransomware.

Quando a ferramenta é executada, ela rouba dados de dispositivos na rede e os armazena em servidores controlados por invasores em pastas com o nome do computador Windows do qual foi roubado.

Ao analisar a ferramenta ExMatter, Fernández descobriu que ela carregava os dados para um servidor remoto que não estava adequadamente protegido, permitindo que qualquer visitante visse os dados armazenados nele.

Na variante ExMatter da Colômbia, os dados foram carregados em várias pastas começando com ‘EPM-‘, conforme mostrado abaixo. Fernández disse ao BleepingComputer que esses nomes de computador correspondem aos formatos de nomeação de computador conhecidos usados ​​pelas Empresas Públicas de Medellín.

Servidor de exfiltração de dados BlackCat
Servidor de exfiltração de dados BlackCat
Source: Germán Fernández

Embora não esteja claro quantos dados totais foram roubados, Fernández disse ao BleepingComputer que havia pouco mais de 40 dispositivos listados no site.

A BleepingComputer entrou em contato com a EPM para saber mais sobre o ataque e quantos dados foram roubados, mas uma resposta não estava disponível imediatamente.

Esta não é a primeira vez que um ataque de ransomware atinge uma empresa de energia colombiana.

Em 2020, o Grupo Enel sofreu um ataque de ransomware duas vezes no mesmo ano.

A Colômbia também viu um aumento nos ataques nos últimos meses, com o sistema de saúde do país interrompido no mês passado por um ataque da RansomHouse à Keralty , uma organização multinacional de saúde.