A gigante suíça de eletrificação e tecnologia de automação ABB sofreu um ataque de ransomware Black Basta que afetou suas operações comerciais. O ataque ocorreu em 7 de maio de 2023 e supostamente afetou as operações comerciais da empresa.
Ataque do ransomware Black Basta à empresa ABB
A empresa suiça tem mais de 105.000 funcionários e uma receita de US$ 29,4 bilhões (cerca de R$ 145,6 bi) para 2022. A notícia do ataque foi relatada pelo BleepingComputer, que está ciente de que o ataque afetou o Windows Active Directory da empresa, com centenas de dispositivos infectados.
De acordo com o BleepingComputer, alguns dos projetos foram adiados e o ataque afetou algumas das fábricas da empresa. Uma vez descoberta a falha de segurança, a ABB fechou as conexões VPN com seus clientes para evitar que a ameaça se espalhasse.
O Black Basta está ativo desde abril de 2022 e, como outras operações de ransomware, implementa um modelo de ataque de dupla extorsão. Em novembro de 2022, os pesquisadores do Sentinel Labs relataram ter encontrado evidências que ligam a gangue de ransomware Black Basta ao grupo de hackers com motivação financeira FIN7.
Histórico e cadeia de ataque do ransomware
Em novembro de 2022, especialistas da equipe Cybereason Global SOC (GSOC) observaram um aumento nas infecções por Qakbot como parte de uma campanha agressiva de malware Qakbot em andamento que leva a infecções por ransomware Black Basta nos EUA. Em duas semanas, os especialistas observaram ataques contra mais de 10 clientes diferentes nos Estados Unidos
A cadeia de ataque começa com uma infecção QBot. Os operadores usam a ferramenta de pós-exploração Cobalt Strike para assumir o controle da máquina e, finalmente, implantar o ransomware Black Basta.
Os ataques começaram com um e-mail de spam/phishing contendo links de URL maliciosos. Uma vez obtido o acesso à rede, o agente da ameaça se move com extrema rapidez. Em alguns casos observados pela Cybereason, o agente da ameaça obteve privilégios de administrador de domínio em menos de duas horas e passou para a implantação de ransomware em menos de 12 horas.
Em abril de 2023, o grupo de ransomware atingiu a gigante de terceirização do Reino Unido Capita. A Capita é um dos maiores fornecedores do governo, com £ 6,5 bilhões (cerca de R$ 35,0 bi) em contratos do setor público, informou o The Guardian.
O ataque interrompeu alguns serviços prestados a clientes individuais, mas a empresa apontou que a maioria de seus serviços ao cliente não foi afetada.