Por muito tempo não houve nenhuma declaração da Continental sobre o ataque cibernético, o roubo de 40 TB de dados e o pedido de resgate de primeiro 50 e depois 40 milhões de dólares. A Continental agora está esclarecendo o que aconteceu e como reagir.
O ataque real à Continental provavelmente ocorreu em agosto de 2022. Naquela época, a Continental anunciou que estava tudo bem. Foi anunciado que o ataque havia sido notado e repelido. Mas longe disso: os hackers provavelmente ainda estavam na rede Continental na época ou ainda tinham acesso. Nas operações diárias, mais de 40 TB de dados foram retirados em um período de tempo desconhecido – sem que a Continental percebesse.
A Continental agora está fornecendo informações públicas
A Continental agora anuncia: “A Continental foi alvo de cibercriminosos. A empresa evitou o ataque no início de agosto e restaurou a integridade de seus sistemas de TI. As atividades comerciais da Continental nunca foram afetadas. A investigação do incidente revelou entretanto que os atacantes também conseguiram roubar parte dos dados dos sistemas informáticos afetados, apesar das precauções de segurança estabelecidas. A investigação, realizada com o apoio de especialistas externos em segurança cibernética, bem como a análise de dados, está em andamento e está sendo realizada com a mais alta prioridade”.
Curso curto de roubo de dados
A própria empresa descreve como ocorreram algumas etapas do ataque cibernético. Aqui está uma versão resumida:
- 4 de agosto de 2022: A Continental imediatamente começa a investigar o assunto. A empresa também trabalha com especialistas externos.
- O atacante fez contato com a Continental em meados de setembro. A Continental posteriormente cortou o contato com os atacantes.
- Em 9 de novembro de 2022, o invasor se ofereceu para excluir ou vender os dados por US$ 50 milhões na dark web. Isso foi reduzido para $ 29 milhões em 2022 de novembro de 40.
- Além disso, em 10 de novembro de 2022, o invasor divulgou uma lista dos dados que afirma ter em sua posse. Nenhum conteúdo de arquivo detalhado será publicado.
- A Continental está assumindo um vazamento de dados de mais de 40 TB. Nenhum conteúdo de arquivo foi liberado neste momento.
- Atualmente, a Continental não tem nenhuma indicação de que os dados foram manipulados ou os produtos foram comprometidos.
- A Continental trabalha com uma renomada empresa de auditoria para análise de dados apoiada por tecnologia.
Nenhum pagamento de resgate - conselho do BSI
Além disso, a administração da empresa diz que "a Continental não aceitará pagamentos de resgate. Pagar um resgate só ajudaria a continuar financiando ataques à segurança de infraestrutura crítica, como fontes de energia e hospitais, instituições educacionais e a economia. Com essa atitude, a empresa também segue as recomendações existentes do Escritório Federal de Segurança da Informação (BSI), do Departamento Federal de Polícia Criminal (BKA) e do Governo Federal.”
Por que ninguém percebeu?
De acordo com a Continental, isso não é incomum, pois a experiência mostra que os ataques de ransomware permanecem indetectáveis por vários meses em média. “Uma das razões para isso é que as grandes empresas, em particular, trocam muitos dados, e uma transferência de dados de cerca de 40 TB, como no presente caso, não é imediatamente significativa”. Outros relatórios dizem que a empresa movimenta cerca de 200 TB por dia. Ao mesmo tempo, a avaliação forense adicional ainda levará algum tempo, porque "devido à quantidade potencial de dados (mais de 55 milhões de entradas de arquivo), a análise de dados provavelmente levará várias semanas".
Como os hackers entraram na Continental?
A empresa diz: “A investigação sobre o ataque cibernético ainda está em andamento, incluindo a investigação sobre onde os invasores puderam começar. As descobertas iniciais sugerem que os invasores obtiveram acesso aos sistemas da Continental usando malware disfarçado executado por um funcionário." De acordo com vários meios de comunicação, um funcionário teria instalado um navegador não autorizado. Isso já tinha um código malicioso a bordo ou levava a uma fonte correspondente. Por que um funcionário tem o direito de instalar software não foi respondido.
Quais são as consequências econômicas?
A Continental também está se perguntando quais consequências econômicas o ataque cibernético poderia ter para a Continental. A resposta para isso é apenas sucintamente “Atualmente não há mais detalhes disponíveis sobre as possíveis consequências”. No entanto, as outras empresas não devem ver as coisas tão facilmente. Porque os dados roubados também deveriam incluir documentos da Mercedes, BMW e VW. Se o desenvolvimento de produtos ou outras coisas estiverem em perigo dessa forma ou se os dados chegarem aos concorrentes, isso poderá ter mais repercussões para a Continental.
Um comentário de Michael Pietsch de Rubrik
O fornecedor automotivo Continental foi vítima de um ataque de ransomware. O caso mostra como é importante usar soluções de segurança que monitoram continuamente a rede e acionam o alarme em caso de irregularidades.
“Para isso, as organizações podem aprender algo com o caso da Continental. O grupo só percebeu meses após a descoberta do ataque hacker que uma grande quantidade de dados havia sido roubada da rede. Para resolver isso, existem soluções de segurança que monitoram continuamente a rede e disparam um alarme em caso de irregularidades. Isso permite uma ação rápida e evita efeitos de longo alcance.
É por isso que os especialistas em segurança cibernética recomendam construir a segurança de dados em torno de três pilares: resiliência de dados, visibilidade de dados e recuperação de dados. Os usuários obtêm resiliência por meio de cópias de backup imutáveis de seus dados. Dados imutáveis são intocáveis e não podem ser criptografados por hackers. A visibilidade é garantida pelo monitoramento constante de todos os fluxos de dados.
Isso também inclui saber em todos os momentos quem tem acesso a quais dados e quando eles foram usados. Essas informações podem ser usadas para identificar e interromper atividades suspeitas. Os backups são usados para restaurar dados importantes. Se eles forem armazenados em um local seguro e estiverem disponíveis rapidamente, as vítimas de um ataque de ransomware poderão colocar seus sistemas online novamente em tempo hábil. Aqueles que aderem a esses princípios podem minimizar o risco e o potencial de dano de um ataque cibernético.” então Michael Pietsch de Rubrik.
Mais em Continental.com