No dia 16 de junho, a Light — companhia carioca que opera no segmento de geração e distribuição de energia elétrica — sofreu um ataque ransomware e teve sua operação temporariamente paralisada.

A empresa revelou que os criminosos estariam pedindo 107.213,96 moneros (XMR), o que equivale a aproximadamente US$ 7 milhões (ou R$ 37 milhões) para descriptografar as máquinas afetadas.

De acordo com pesquisas, há indícios de que o malware utilizado contra a Light é o Sodinokibi, também conhecido como REvil. Essa variante foi inicialmente distribuída através de uma vulnerabilidade no WebLogic Server, da Oracle, e chamou atenção por excluir eventuais backups presentes no dispositivo afetado, impedindo assim qualquer tentativa de restaurar os sistemas sem pagar o resgate.

Sobre o malware

O Sodinokibi é um “ransomware-as-a-service” (ou seja, qualquer pessoa pode “alugar” sua infraestrutura para lançar ataques), a página para a qual a vítima é redirecionada no caso de uma infecção inclui não apenas instruções para o pagamento do resgate, mas também uma seção de “Sobre Nós” e um chat através do qual você pode conversar com um dos operadores do ransomware em tempo real para tirar dúvidas.

Especialistas tiveram acesso a algumas capturas de tela que mostram supostos trechos de conversas entre os operadores do Sodinokibi e a equipe da Light; os criminosos pedem que os brasileiros “falem em inglês” e até mesmo oferecem uma amostra para provar que eles são, de fato, capazes de descriptografar a máquina assim que o pagamento for realizado.

Acredita-se que o Sodinokibi tenha ligações com o Pinchy Spider, nome utilizado para se referir ao indivíduo ou grupo de desenvolvedores que também foram os responsáveis pelo GandCrab, ransomware que causou muita dor de cabeça até que uma ferramenta de decriptação gratuita foi lançada pela BitDefender.

Ainda não se sabe se a Light realizou o pagamento do resgate ou conseguiu se livrar do Sodinokibi de outra forma — até o momento, o site da companhia estava funcionando normalmente.

Fonte