REvil ataca consultora para assuntos nucleares dos EUA

Sol Oriens, consultora da Administração Nacional de Segurança Nuclear (NNSA) do Departamento de Energia dos Estados Unidos, foi alvo de um mais um ataque ransomware da gangue cibernética REvil em maio.

Em uma declaração divulgada pela CNBC, a Sol Oriens afirmou que identificou um acesso não autorizado a certos documentos dos sistemas e que tais documentos estavam sob revisão. Também contou que uma empresa forense havia sido contratada para determinar o possível  escopo dos dados envolvidos.

Apesar do invasor não ter sido citado pela Sol Oriens, o grupo Revil é o suposto autor do ataque. Um especialista em ransomware da empresa de cibersegurança Emsisoft identificou em suas pesquisas na Dark Web, em um blog do REvil, faturas de contratos com a NNSA, descrições de projetos de Pesquisa e Desenvolvimento e folhas de pagamento de funcionários.

A Sol Oriens tem cerca de 50 funcionários e presta serviços de consultoria ao governo dos Estados Unidos em projetos relacionados a energia, armamento e outros usos da tecnologia nuclear. A empresa diz ajudar o Departamento de Defesa e o Departamento de Organizações de Energia, empreiteiros aeroespaciais e firmas de tecnologia a realizar programas complexos com foco na defesa nacional forte, segundo perfil no LinkedIn. Já a NNSA é uma agência semiautônoma do Departamento de Energia dos Estados Unidos responsável por manter a segurança, a proteção e a eficácia do uso da ciência nuclear em aplicações militares. Entre outras atividades, trabalha com a Marinha norte-americana em propulsão nuclear e atende emergências radiológicas e nucleares no país e no exterior.

Ainda não há indicação de que a Sol Oriens tenha sido alvo por causa do trabalho que realiza, mas apenas mais uma vítima que provavelmente pagaria resgate ao grupo. Para Michael DeBolt, vice-presidente sênior de inteligência da Intel 471, a invasão à Sol Oriens foi mais uma questão de oportunidade do que uma ação vinculada a entidades associadas ao estado. Segundo ele, os atores permanecem, principalmente, motivados pelo lado financeiro. Gary Kinghorn, diretor de marketing da Tempered Networks, disse que a invasão não deve ter resultados catastróficos se estiver limitada a dados pessoais e contratos, mas acrescentou que as organizações precisam acordar para a vasta sofisticação e recursos por trás desses ataques, qualquer que seja a motivação.

A gangue cibernética  Revil foi apontada como responsável pelos recentes casos de ransomware envolvendo JBS Foods, Apple e Acer e os pedidos de resgate de valor mais elevado de toda a história.  Para distribuir ataques ransomware, coopera com afiliados contratados em fóruns cibercriminosos. Segundo a Kaspersky, o pedido de resgate é baseado na receita anual da vítima, e os distribuidores recebem entre 60% e 75% do valor. De acordo com a entrevista com a operadora REvil, a quadrilha faturou mais de US$ 100 milhões em 2020.

A Sol Oriens, o Departamento de Energia e o Conselho Nacional dos Estados Unidos não comentaram o relato. A consultoria se limitou a emitir um comunicado esta semana dizendo que tinha tomado conhecimento de uma violação grave no mês passado e que havia nomeado uma empresa forense de tecnologia para investigar o incidente, enquanto as autoridades policiais também foram informadas.

Uma investigação está em andamento, mas a empresa disse ao saber da violação que seu sistema de computador foi rapidamente protegido e, além disso, qualquer documento comprometido seria examinado. A Sol Oriens está trabalhando com uma empresa forense de tecnologia terceirizada para determinar o escopo dos dados potenciais que podem ter estado envolvidos no ataque cibernético do mês passa.

Como os ataques de ransomware recentes mostraram, pode haver consequências graves após essas violações. O ataque do Oleoduto Colonial resultou em escassez de combustível por mais de uma semana ao longo da Costa Leste, e o ataque à JBS impactou brevemente a cadeia de abastecimento alimentar do país. No entanto, ambos perdem relevância diante do que pode acontecer se segredos nucleares críticos tiverem sido expostos.