Os hackers que usaram ransomware para um ataque cibernético contra a JBS estudaram a potencial invasão em fevereiro e roubaram dados por vários meses de unidades da companhia na Austrália e no Brasil, segundo a SecurityScorecard, uma empresa de gerenciamento de risco cibernético.
A fase de “reconhecimento” do ataque cibernético, na qual os hackers estudam o alvo e onde podem explorá-lo, começou em fevereiro, de acordo com relatório da SecurityScorecard compartilhado com a Bloomberg. A pesquisa tem como base várias fontes públicas e privadas de inteligência, seguimento na dark web e ferramentas investigativas como o NetFlow – que rastreia fluxos de tráfego digital -, de acordo com Ryan Sherstobitoff, vice-presidente de pesquisa e inteligência de ameaças cibernéticas da SecurityScorecard. A empresa planeja divulgar o relatório na terça-feira.
Uma porta-voz da JBS USA contestou os dados, dizendo que são inconsistentes com uma investigação preliminar conduzida por especialistas terceirizados.
“Não descobrimos nenhuma evidência de que os dados da empresa foram exfiltrados e nenhuma evidência de que o Brasil foi impactado de alguma forma”, disse Nikki Richardson, porta-voz da empresa. “A investigação está em andamento e seria irresponsável da nossa parte comentar sobre relatórios especulativos ou rumores infundados.”
“O fato é que os protocolos de segurança cibernética da empresa permitiram uma resolução rápida para esse ataque criminoso direcionado, resultando na perda de menos de um dia de produção”, disse.
O ataque de ransomware no final do mês passado obrigou a JBS a interromper a produção em unidades de carne bovina nos Estados Unidos – que respondem por quase 25% da oferta no país – e desacelerar as operações de carne suína e de aves. O FBI atribuiu o incidente ao REvil, um grupo de hackers que, segundo pesquisadores, tem vínculos com a Rússia.
Não se sabe como ou onde os hackers invadiram a JBS, mas, em março, os invasores começaram a coletar dados da JBS na Austrália, de acordo com os pesquisadores. A SecurityScorecard encontrou credenciais de funcionários da filial da empresa na Austrália na dark web pouco antes do início da exfiltração, disse Sherstobitoff em entrevista.
A SecurityScorecard também encontrou evidências sugerindo que os hackers coletaram dados em abril e maio de uma unidade da JBS no Brasil. A empresa foi então alvo de um ataque no final de maio com um ransomware, que criptografa os dados até que a vítima pague para desbloquear seus sistemas.
“Como acontece com todas as operações de ransomware, os invasores provavelmente estão interessados em exfiltrar dados e potencialmente vazá-los na dark web se as vítimas não pagarem”, de acordo com o relatório. “Normalmente, o agente da ameaça exfiltra os dados antes de criptografar os arquivos e, em seguida, usa os dados para extorquir a vítima para ganho financeiro.”
No entanto, a pesquisa da SecurityScorecard se alinha com investigações do setor privado sobre o ataque, disse uma pessoa a par das investigações. Os invasores começaram a coletar grandes quantidades de dados da rede da empresa na Austrália em março e continuaram até que o ataque foi descoberto no mês passado, disse a pessoa.
Citando a análise dos padrões de tráfego dos hackers em torno dos dados roubados, a pessoa disse que os invasores parecem ter passado um tempo atipicamente longo roubando informações antes de detonar o ransomware.
More stories like this are available on bloomberg.com