A Agência Escocesa de Proteção Ambiental (Sepa, na sigla em inglês) teve cerca de 1,2 GB de dados roubados de seus sistemas digitais na véspera de Natal. O órgão público rejeitou um pedido de resgate pelo ataque, que foi reivindicado pelo grupo internacional de ransomware Conti.

Contratos, documentos de estratégia e bancos de dados estão entre os 4.000 arquivos vazados. Os dados foram colocados na dark web - uma parte da Internet associada à criminalidade e acessível apenas por meio de software especializado.

"Deixamos claro que não usaremos as finanças públicas para pagar criminosos sérios e organizados com a intenção de interromper os serviços públicos e extorquir fundos públicos. Tornamos nossas obrigações legais e dever de cuidado no manuseio de dados confidenciais uma alta prioridade e, seguindo o conselho da Police Scotland, estamos confirmando que os dados roubados foram publicados ilegalmente online. Estamos trabalhando rapidamente com parceiros de várias agências para recuperar e analisar os dados, então, à medida que as identificações são confirmadas, contate e dê suporte às organizações e indivíduos afetados." declarou o presidente-executivo da Sepa, Terry A'Hearn.

O ataque bloqueou os e-mails e a central de contatos da Sepa, mas o órgão disse que "os serviços prioritários de regulamentação, monitoramento, previsão de enchentes e alerta continuam a se adaptar e operar".

Sepa disse que o roubo foi equivalente a uma fração do conteúdo de um disco rígido de um laptop comum. Algumas das informações roubadas já estavam disponíveis publicamente, mas outros arquivos que incluíam dados sobre funcionários e fornecedores, não.

Onde as informações foram identificadas até o momento, a equipe foi contatada e está sendo apoiada. 

"Sirva como um aviso para futuras vítimas", disse Brett Callow, da empresa de segurança cibernética Emsisoft, que está rastreando o ataque do ransomware Sepa. 

"Conti pode muito bem ser o trabalho das mesmas pessoas por trás de outro tipo de ransomware chamado Ryuk. Existem semelhanças no código, nota de resgate e mecanismos de ataque. Quando a coleta completa de dados é postada dessa forma, geralmente significa que o grupo perdeu a esperança de conseguir extrair o pagamento da vítima para monetizar os dados de outras maneiras. É uma perda para eles. Neste ponto, eles perderam toda a influência e a ação pretende servir como um aviso para as futuras vítimas." declarou.

O Michael McCullagh, da unidade de investigação de crimes cibernéticos da Police Scotland, disse: "Esta continua sendo uma investigação em andamento. As consultas permanecem em um estágio inicial e continuam a progredir, incluindo a implantação de recursos especializados em crimes cibernéticos para apoiar essa resposta."

 

Grande impacto para a Sepa.

Parece que a Sepa decidiu não brincar com os cibercriminosos. O ransomware é um flagelo que está custando bilhões de libras às organizações e, sempre que uma vítima paga, ele alimenta novos ataques.

Infelizmente para a Sepa, isso está longe de terminar. Pela aparência do estoque de arquivos que os hackers roubaram e criptografaram, a Sepa terá meses de trabalho pela frente para tentar recuperar documentos e planilhas importantes dos backups e reconstruir seus registros.

Também é revelador que, de acordo com o site dos hackers, quase 1.000 pessoas até agora consultaram os documentos. Quem sabe quais outros criminosos ou hackers estão debruçados sobre os arquivos agora.

Tornar os documentos abertos a todos significa que as informações podem ser extraídas para serem potencialmente utilizadas contra a Sepa em novos ataques ou tentativas de extorsão. Levará meses, talvez até anos até que a organização possa dizer que está segura mais uma vez e possa deixar esse ataque cibernético para trás.