JBS Foods paga US$ 11 milhões a hackers

A JBS Foods, maior processadora de carne do mundo, confirmou ter pago o equivalente a US$ 11 milhões aos hackers que invadiram os sistemas da empresa no final de maio, em caso parecido ao da Colonial Pipeline, responsável pelo maior gasoduto norte-americano.

Segundo André Nogueira, CEO da JBS USA, afirmou à Associated Press, “foi uma decisão muito difícil, mas deveria ser tomada para evitar riscos aos clientes”. O executivo comentou que grande parte das instalações já havia retomados as operações normais quando o pagamento foi feito, mas mesmo assim tomou a decisão para evitar imprevistos e vazamento de dados.

O caso do ataque ao Colonial Pipeline foi um pouco diferente. Joseph Blount, CEO da companhia, disse ao The Wall Street Journal que autorizou o pagamento do resgate de US$ 4,4 milhões porque os executivos não estavam seguros de como o ataque havia violado os sistemas e, consequentemente, quanto tempo levaria para trazer as operação de volta à normalidade.

A invasão à JBS Foods nos Estados Unidos e na Austrália foi atribuída pelo FBI ao grupo REvil/Sodinokibi. Esse foi o terceiro grande ataque atribuído a hackers russos em 2021. O maior deles foi o que envolveu a Colonial Pipeline, que também pagou o resgate em troca da chave de descriptografia para recuperar os dados. No entanto, em uma ação inédita, o Departamento de Justiça dos Estados Unidos recuperou a maior parte do valor do resgate multimilionário.

A JBS Foods afirmou que apenas as operações da empresa na Austrália e na América do Norte foram afetadas e que os sistemas de backup permitiram restaurar as operações o mais rápido possível. Também disse não ter evidências, até o momento, de que dados de clientes, fornecedores ou funcionários tenham sido comprometidos.

Outras investidas do grupo REvil em 2021

REvil é uma das operações RaaS mais prolíficas, sendo que a primeira atividade do grupo foi observada em abril de 2019. Para distribuir ataques ransomware, coopera com afiliados contratados em fóruns cibercriminosos. Segundo a Kaspersky, o pedido de resgate é baseado na receita anual da vítima, e os distribuidores recebem entre 60% e 75% do valor. De acordo com a entrevista com a operadora REvil, a quadrilha faturou mais de US$ 100 milhões em 2020.

As atividades dessa gangue cibernética se intensificou em 2021. Em março, por exemplo, o grupo REvil pediu à fabricante taiwanesa Acer Eletronics um resgate de US$ 50 milhões, supostamente o maior já reportado entre ataques ransomware. A ciberquadrilha afirmou que daria um desconto de 20%, se o pagamento fosse feito até 17 de março. Em troca, forneceria um descriptografador para os dados comprometidos, um relatório sobre as vulnerabilidades e a exclusão de arquivos roubados.

Em resposta às perguntas do BleepingComputer, a Acer não foi clara sobre se sofreram ou não um ataque de ransomware, dizendo apenas que havia “identificado situações anormais”.

Em abril de 2021, um membro do REvil anunciou em fóruns onde criminosos cibernéticos recrutam afiliados que, em pouco tempo, aconteceria “o ataque de maior visibilidade de todos os tempos”. Alguns dias depois, o grupo declarou no site Happy Blog na Dark Web que havia roubado da Quanta Computer, empresa taiwanesa que fabrica vários equipamentios da Apple, uma série de supostos planos confidenciais de novos produtos. Também afirmou que a Quanta havia se recusado a pagar o resgate de US$ 50 milhões, como no caso da Acer, levando os hackers a começarem a ameaçar clientes da empresa. A Apple não comentou o caso.

Em um episódio anterior, em janeiro, a rede varejista asiática Dairy Farm também havia sido atacada pelo grupo REvil que, dessa vez, exigiu um resgate de US$ 30 milhões.

De acordo com pesquisa da Kaspersky, a maior parte das vítimas do REvil estão nos setores de Engenharia e Manufatura (30%), Finanças (14%), Serviços Profissionais e ao Consumidor (9%), Jurídico (7%) e TI e Telecomunicações (7%).