A orientação de autoridades e especialistas em segurança é uma só: não pague resgate em ações de ransomwares. Mas há situações em que a organização que é alvo de um malware do tipo se vê obrigada a seguir por esse caminho. É caso da brasileira JBS, que admitiu ter pago US$ 11 milhões aos hackers do grupo REvil.
- EUA vão tratar ataques de ransomware com rigor similar ao do terrorismo
- O que é um crime cibernético? 3 casos populares
Unidade da JBS no Brasil (imagem: divulgação/JBS)
No final de maio, a JBS detectou um ataque aos seus sistemas. A situação forçou a companhia a paralisar as suas operações na Austrália, Canadá e Estados Unidos. A JBS USA (unidade que coordena as operações do grupo nos Estados Unidos) reconheceu o incidente logo depois, mas sem dar detalhes. Mais tarde, veio à tona a informação de que a empresa foi alvo do REvil.
A JBS passou o início de junho restaurando os sistemas afetados, novamente, sem dar detalhes sobre o procedimento. Na quinta-feira passada (3), a companhia emitiu um comunicado para informar que as suas operações haviam sido normalizadas.
REvil pediu resgate de US$ 22,5 milhões
Enquanto tentava restaurar seus sistemas, a JBS também negociava. O Bleeping Computer obteve a informação de que, no dia 1º de junho, o REvil fez um pedido de resgate no valor de US$ 22,5 milhões, montante equivalente a R$ 114 milhões pela conversão do dólar atual.
Os invasores ameaçaram divulgar os dados da empresa se o resgaste não fosse pago em até três dias depois do pedido de resgate:
Estamos mantendo isso em segredo por enquanto, mas se vocês não nos responderem em 3 dias, divulgaremos [os dados] em nosso site de notícias. Pense no prejuízo financeiro para o preço de suas ações com essa publicação.
REvil
JBS pagou US$ 11 milhões em bitcoins
Acuada, a JBS pediu para que os hackers mostrassem os dados capturados, mas o grupo se negou a fazê-lo se o pagamento não fosse efetuado. As negociações continuaram até o REvil concordar em receber o equivalente a US$ 11 milhões. O valor foi pago em bitcoins no mesmo dia (1º de junho).
Após o pagamento, o REvil enviou à JBS um descriptografador para liberar os arquivos “sequestrados”.
A companhia revelou que só precisava da ferramenta para descriptografar dois bancos de dados específicos, pois o restante seria restaurado a partir de backups. Se o resgate foi pago, é de se imaginar que os dois bancos de dados eram muito importantes.
O descriptografador enviado à JBS pelo REvil (imagem: Bleepping Computer)
Mas, em nota publicada na quarta-feira (9), a JBS reconheceu o pagamento de US$ 11 milhões (R$ 56 milhões na conversão atual) e explicou que tomou a decisão para evitar que dados fossem vazados.
Essa foi uma decisão muito difícil para ser tomada por nossa companhia e por mim, pessoalmente.
No entanto, sentimos que essa decisão precisava ser tomada para evitar qualquer risco em potencial aos nossos clientes.
Andre Nogueira, CEO da JBS USA
REvil faz cada vez mais vítimas
As ações do REvil têm crescido no mundo todo. De origem supostamente russa, o grupo opera pelo menos desde 2019 e explora um modelo de atuação conhecido como “ransomware-as-a-service”. Nele, o grupo recruta parceiros ou “afiliados” para efetuar ataques com o seu ransomware e, em caso de sucesso, fica com uma porcentagem dos resgates obtidos por eles.
Para aumentar a pressão sobre a organização afetada, o grupo costuma, além de bloquear sistemas, ameaçar expor dados capturados, como foi o caso da JBS.