A Canon foi vítima de um ransomware chamado Maze, que está afetando múltiplos sistemas internos e derrubou momentaneamente até mesmo o site da empresa nos EUA. O site Bleeping Computer começou a suspeitar de que algo estava errado em 30 de julho, quando o serviço de compartilhamento de imagens da empresa, o images.canon, saiu do ar, só retornando à operação normal quatro dias depois.
A empresa afirmou em nota aos usuários que alguns dados armazenados no serviço antes de 16 de junho de 2020 podem ter sido perdidos. Os thumbnails dos arquivos deletados não foram afetados, e “não houve vazamento de imagens”
Mas há mais nesta história. Segundo o Bleeping Computer, a equipe de TI da empresa enviou uma notificação a todos os funcionários na manhã desta quarta-feira, alertando para “problemas em grande escala que afetam múltiplas aplicações. Teams, e-mail e outros sistemas podem não estar disponíveis no momento”.
O site norte-americano da empresa (usa.canon.com) saiu do ar e passou a mostrar uma mensagem de “erro interno do servidor”. A causa do problema seria um ataque de ransomware, malware que “sequestra” os arquivos em um computador. Uma nota (reproduzida abaixo) foi deixada nos sistemas da Canon, com instruções para o pagamento de um resgate.
O BleepingComputer alega que conseguiu contato com os operadores do ransomware, que afirmam que 10 TB de dados, incluindo “bancos de dados privados” foram copiados da rede da empresa. Entretanto, eles não ofereceram uma prova disto.
Nota deixada pelo ransomware Maze nos sistemas da Canon. Foto: Bleeping Computer
O Maze é um ransomware sofisticado, que a partir de um ponto fraco (um servidor ou cliente mal-configurado, por exemplo) invade e se espalha “lateralmente” por uma rede até conseguir acesso ao controlador do domínio do sistema e a uma conta de administrador.
Durante o processo, ele copia arquivos não criptografados e backups de sistema para os servidores dos criminosos. Após roubar informações consideradas valiosas e conseguir acesso ao controlador do domínio, o módulo de criptografia do ransomware é ativado, criptografando os dados em todos os aparelhos conectados à rede.
Se a vítima não pagar o resgate, os operadores do Maze distribuem os arquivos roubados publicamente. Isso pode danificar a empresa de várias formas, como através de processos movidos por clientes que tiveram informações expostas ou com segredos comerciais que vem a público e podem beneficiar concorrentes.
A Canon não confirmou o ataque.
Fonte: Bleeping Computer