A Eletrobras e Copel foram atingidas por ataques de ransomware recentemente. Confira os detalhes desse perigoso incidente de segurança.
A Copel é a maior do estado do Paraná, enquanto a Eletrobras é a maior concessionária de energia da América Latina e também possui a Eletronuclear, uma subsidiária envolvida na construção e operação de usinas nucleares. Controlados pelo Estado, ambos são atores-chave no país.
Agora, a Centrais Eletricas Brasileiras (Eletrobras) e Companhia Paranaense de Energia (Copel), duas grandes empresas de energia elétrica no Brasil, anunciaram que sofreram ataques de ransomware na semana passada.
Eletrobras e Copel foram atingidas por ataques de ransomware
Ambos os ataques de ransomware interromperam as operações e forçaram as empresas a suspender alguns de seus sistemas, pelo menos temporariamente.
No caso da Eletrobras, o incidente ocorreu em sua subsidiária Eletronuclear e foi classificado como um ataque de ransomware. Afetou alguns servidores da rede administrativa e não teve impacto nas operações das usinas nucleares de Angra 1 e Angra 2.
As operações nas duas usinas estão desconectadas da rede administrativa, por óbvios motivos de segurança, de modo que o fornecimento de eletricidade ao Sistema Interligado Nacional não foi afetado, disse a empresa em comunicado na quarta-feira.
Ao detectar o ataque, a Eletronuclear suspendeu alguns de seus sistemas para proteger a integridade da rede. Junto com a equipe de serviços gerenciados de segurança, a empresa isolou o malware e restringiu os efeitos do ataque.
A notificação é escassa em detalhes e não esclarece se o ataque também funciona como uma violação de dados, pois é comum que os operadores de ransomware roubem dados da rede da vítima antes de implantar a rotina de criptografia.
Copel vaza à frente
No caso da Copel, o ataque é obra da gangue de ransomware Darkside, que afirma ter roubado mais de 1.000 GB de dados e que o cache inclui informações confidenciais de acesso à infraestrutura e dados pessoais da alta administração e dos clientes.
De acordo com os hackers, eles obtiveram acesso à solução CyberArk da empresa para gerenciamento de acesso privilegiado e exfiltraram senhas de texto simples na infraestrutura local e de internet da Copel.
Além disso, Darkside afirma ter mais de 1.000 GB de dados confidenciais pertencentes à Copel, que contém mapas de rede, esquemas e horários de backup, zonas de domínio para o site principal da Copel e o domínio da intranet.
Eles também afirmam ter vazado o banco de dados que armazena dados do Active Directory (AD) – arquivo NTDS.dit, que inclui informações sobre objetos de usuário, grupos, associação de grupo e hashes de senha para todos os usuários no domínio.
Embora o banco de dados do AD não possua senhas em texto simples, existem ferramentas que podem quebrar os hashes offline ou usá-los nos chamados ataques pass-the-hash, onde funcionam como a própria senha.
Ao contrário de outros operadores de ransomware, o Darkside não fornece dados roubados em seu site de vazamento. Em vez disso, eles configuraram um sistema de armazenamento distribuído para hospedá-lo por seis meses.
O acesso a esses caches é controlado pelos membros da gangue. Isso significa que, embora os dados da Copel não estejam disponíveis gratuitamente, terceiros, incluindo hackers, podem obtê-los facilmente.
Sistemas principais intactos
A Copel é a maior empresa paranaense e também a primeira empresa brasileira do setor elétrico a ser listada na Bolsa de Valores de Nova York.
A data da intrusão não foi divulgada, mas a Copel anunciou o ocorrido em um processo junto à Securities and Exchange Commission (SEC) na segunda-feira, 1º de fevereiro.
A empresa detectou o ataque e agiu imediatamente para impedi-lo de se espalhar pela rede. Uma investigação foi iniciada para determinar o impacto total do ataque.
O certo é que os principais sistemas não foram afetados e o fornecimento de energia elétrica e os serviços de telecomunicações continuaram a funcionar normalmente.
A Copel diz que:
“Os sistemas de operação e proteção detectaram os ataques e, de imediato, a Empresa seguiu os protocolos de segurança, inclusive suspendendo o funcionamento de seu ambiente informatizado para proteger a integridade das informações. O levantamento completo do ocorrido está em andamento e a Companhia está tomando as providências necessárias para o restabelecimento da normalidade.”
Não está claro quantos segmentos da rede da Copel foram afetados pelo ataque ou se os hackers conseguiram implantar a rotina de criptografia.