Ransomware AtomSilo: operadores afirmam que sua primeira vítima é uma empresa brasileira

Em setembro de 2021, uma nova família de ransomware com o nome de Atomsilo foi detectada em atividade pela primeira vez. Os operadores dessa ameaça também lançaram um site, que só pode ser acessado através do Tor, no qual publicaram o nome de sua primeira vítima, segundo informa a página. De acordo com os atacantes, trata-se de uma empresa farmacêutica brasileira chamada Cristália. Ainda segundo os operadores, eles conseguiram roubar 900 GB de informações privadas e confidenciais da empresa e publicaram os dados para download. Aparentemente, isso ocorreu porque a empresa não pagou o resgate solicitado.

O Laboratório Cristália é um complexo industrial farmacêutico, farmoquímico, biotecnológico e de pesquisa que atua na produção de medicamentos. Coincidentemente, a empresa publicou um comunicado em seu site há alguns dias, no qual afirma ter sofrido um ataque cibernético no último dia 9 de setembro que afetou seus sistemas e operações. Embora a empresa não tenha se referido a um ataque de ransomware, a nota confirma o que os cibercriminosos publicaram no site do grupo criminoso.

Entre os 900 GB de dados roubados e posteriormente publicados por cibercriminosos, podem ser encontradas imagens de documentos de identidade, além de listas que detalham nomes, números de telefone e informações adicionais sobre essas pessoas, bem como documentos internos, detalhes de análises, entre outros.

A Cristália destacou que, imediatamente após o incidente, ativou todos os protocolos de segurança para deter o ataque e mitigar os impactos. No momento de publicar o comunicado, o laboratório disse que a maior parte dos seus sistemas já tinham sido reestabelecidos e que as suas equipes internas estão trabalhando em um plano de contingência.

Sobre o ransomware Atomsilo

No último dia 24 de setembro, poucos dias após o lançamento do site do Atomsilo, a comunidade de pesquisadores de segurança começou a comentar por meio do Twitter sobre uma certa semelhança entre o designer do site do ransomware BlackMatter e a página do Atomsilo, o que gerou algumas especulações a respeito. Da mesma forma, vale destacar que, exceto pela cor de fundo do site de cada um deles, que é diferente, o resto do design é muito parecido – até mesmo alguns textos são exatamente iguais. No entanto, não se sabe até agora se é algo casual ou não.

De acordo com algumas análises publicadas a partir das primeiras amostras, o ransomware Atomsilo criptografa arquivos com a extensão .ATOMSILO. Após a criptografia, a ameaça deixa um arquivo com a nota de resgate que abre no navegador e detalha as instruções que devem ser seguidas para que a vítima supostamente possa recuperar os arquivos criptografados e o valor a ser pago em bitcoins.

Conclusão

Como enfatizamos desde 2020, o ransomware é uma ameaça que obteve e continua tendo um grande crescimento, principalmente depois que a pandemia foi decretada. Desde então, novos grupos de ransomware surgiram (a maioria sob o modelo de afiliados) e outros pararam de operar. Os valores de resgate solicitados às vítimas dispararam, e os operadores de cada família começaram a implementar novas táticas de extorsão para pressionar as vítimas a pagar. Primeiro foi o doxing, mas outras estratégias surgiram rapidamente, como ataques DDoS às vítimas, ligações não solicitadas de atacantes para convencer as vítimas a pagar, contatar aos clientes da empresa atacada, vender informações roubadas ou até mesmo ameaçar excluir as informações caso a polícia fosse acionada.