EMBORA POSSA PARECER FAZER PARTE DE UM GUIÃO DE UM DOS SETE FILMES DA SÉRIE MISSÃO IMPOSSÍVEL, O CASO É BASTANTE REAL E NÃO TÃO RARO QUANTO POSSA PARECER. UM GRUPO DE HACKERS CONHECIDO COMO DOPPELPAYMER GANG LANÇOU UM ATAQUE A PARTES DO SISTEMA INFORMÁTICO DA KIA NOS ESTADOS UNIDOS E PEDE AGORA UM RESGATE DE MAIS DE 17 MILHÕES DE EUROS.
POR JORGE MATIAS
A Kia começou por desmentir a notícia de ter sofrido um ataque de ransomware (um vírus malware que restringe o acesso aos sistemas informáticos até que seja pago o resgate exigido para devolver o controle aos sistemas) e exige um valor de 404 bitcoins para “libertar” o sistema informático que gere os quase 800 representantes da marca nos Estados Unidos.
404 bitcoins se o resgate for pago no prazo máximo de 9 dias, porque depois disso cresce para 600. E, se aparentemente este valor lhe pode parecer irrisório ou patético, lembre-se apenas que recentemente o valor de uma única bitcoin superou pela primeira vez os 50 mil dólares (aproximadamente 45 mil euros). O que resulta no valor de pouco mais de 17 milhões de euros que pode subir para 27 milhões caso o resgate não seja pago no prazo de nove dias.
O ataque
Este cyber-ataque afetou o sistema que gere as app OVO (que gere a relação dos proprietários com a marca e fornece um serviço total sobre a manutenção dos veículos), comunicações telefónicas, sistema de pagamento, o portal destinado aos proprietários de veículos Kia e também a intranet que facilita a comunicação entre os representantes e a marca nos Estados Unidos.
Atualmente, ao consultar os sites dos representantes da marca, os utilizadores recebem a mensagem dos serviços de informática a informar que o sistema está temporariamente inativo e que isso afetou alguns serviços internos da marca.
E afetou da tal forma que ainda há uns dias um recente comprador de um Kia referia no Twitter que se deslocou ao representante onde efetuou a compra, para recolher a sua viatura nova que, tal não foi possível porque os sistema não indicava qualquer dado sobre a viatura em questão, tornando assim impossível a entrega.
Apesar de todas as evidências e da não confirmação do ataque por parte da marca, a revista online americana Bleeping Computer, recebeu algumas imagens sobre a notificação colocada no sistema interno da marca, onde especifica qual a extensão do ataque e quais as condições para que a marca retome o controle do seu próprio sistema informático de gestão de clientes.
Numa destas imagens, o DoppelPaymer gang recomenda claramente que a marca não deve “reiniciar ou desligar os servidores”, “não tentar renomear, mover ou apagar os ficheiros encriptados”, e “não deve tentar recuperar os ficheiros encriptados com as ferramentas habitualmente utilizadas para o efeito”, sob risco de ver todos os dados revelados publicamente dentro de duas semanas.
Quem são estes ‘hackers’?
O FBI norte-americano sabe que o grupo DoppelPaymer existe desde 2019, por ter lançado uma sequência de ataques informáticos contra os serviços públicos tornando quase impossível a realização adequada das suas operações de fornecimento de serviços essenciais.
Mas o alerta público emitido pelo departamento de investigação apenas aconteceu no início de Dezembro de 2020, dado o volume de casos que o FBI tinha, entretanto, apurado. Paralelamente, desde Fevereiro de 2020 que está no ar um site da “família” DoppelPaymer que serve o propósito de vazar os dados de todos aqueles que prefiram não aceder à chantagem.
O FBI acredita também que o DoppelPaymer tenha surgido como sequência natural de um outro grupo, o BitPaymer, que surgiu pela primeira vez em 2017. Esta teoria baseia-se no facto de os Doppel usarem um ransomware não só muito semelhante ao código do grupo anterior, mas também muito idêntico nas notas de resgate e portais de pagamento dos resgates.
Talvez o aspeto mais único do DoppelPaymer seja o uso de uma ferramenta chamada Process Hacker, que usa para encerrar serviços e processos relacionados com a segurança, servidor de e-mail, backup e software de banco de dados para evitar violação de acesso durante a encriptação.
E a Hyundai?
Logo após esta notícia ser tornada pública, a revista Bleeping Computar recebeu inúmeros contactos de funcionários e representantes da Hyundai, informando que também esta marca sul-coreana terá sido objeto de ataques.
E apesar de a empresa ter comunicado não haver qualquer evidência de ter sofrido qualquer ataque informático, a verdade é que as imagens dos pedidos de resgate que publicamos, referem claramente a Hyundai Motor America.
Paralelamente, emails datados do passado dia 13 de Fevereiro enviados pela Hyundai para alguns representantes da Kia, referem que também alguns dos serviços digitais da marca terão ficado inexplicavelmente bloqueados. No caso da Hyundai, desde então, alguns serviços foram restabelecidos, embora outros se mantenham com fortes constrangimentos, sobretudo os da área dos serviços técnicos da marca.
Comentários