Em seu comunicado de imprensa, Carros Volvo, um fabricante multinacional sueco de veículos de luxo com sede em Torslanda, Gotemburgo, relatou acesso ilegal de terceiros aos seus registros. Ao descobrir a violação, a empresa notificou as autoridades competentes e tomou medidas para impedir maior acesso à sua propriedade. Imediatamente as ações da Volvo Cars caíram 3.2% no 3:55 PM. GMT. Além do mais, o IPO da empresa em outubro 29 foi o maior da Europa este ano.
Volvo Cars investiga incidente de violação de dados
De acordo com a Wikipedia em março deste ano, a empresa anunciou uma mudança de marca para fabricante de carros totalmente elétricos por 2030. Em junho 2021, O desenvolvedor e fabricante sueco de baterias Northvolt e a Volvo Cars tornaram públicos seus planos de lançar um 50/50 joint venture formada pelo Centro de Pesquisa e Desenvolvimento (R&D) e a gigafábrica. Em dezembro 2021, um comunicado revelou que o R&D Center estaria localizado em Gotemburgo, Suécia.
“A Volvo Cars está conduzindo sua própria investigação e trabalhando com especialistas terceirizados para investigar o roubo de propriedade. A empresa não vê, com as informações atualmente disponíveis, que isso tem impacto na segurança de seus clientes’ carros ou em seus dados pessoais, ”lê um comunicado divulgado por uma empresa.
A investigação revelou que apenas alguns dos R da empresa&D foi acessado. Informações descobertas no decorrer da investigação indicam que pode haver algum impacto na operação da empresa. Embora não haja nenhuma indicação de que a segurança dos dados pessoais ou dos automóveis dos seus clientes tenha sido ameaçada. A gangue do ransomware Snatch assumiu a responsabilidade pelo ataque. Como prova, os hackers divulgaram 35.9 MB de documentos que alegam ter sido roubados dos servidores da Volvo. Embora a empresa na comunicação mediática não tenha confirmado o envolvimento do Snatch.
Snatch explodiu em cena, com uma variedade de executáveis e ferramentas para realizar ataques cuidadosamente orquestrados. Uma nova variante de ransomware conhecida como “Arrebatar” foi flagrado nas campanhas, forçando as máquinas Windows a reiniciar no modo de segurança antes de iniciar o processo de criptografia. É um dos múltiplos componentes de uma constelação de malware usados em ataques cuidadosamente orquestrados que também envolvem coleta desenfreada de dados.
O que é ransomware Snatch?
Os operadores de Snatch parecem estar ativos desde o verão de 2018, de acordo com a análise, no entanto, o aspecto do modo de segurança é um novo recurso adicionado. Snatch ataca máquinas Windows com uma coleção de malware que inclui o executável do ransomware; um ladrão de dados personalizados; um projétil reverso Cobalt Strike; e várias ferramentas disponíveis publicamente que normalmente são usadas por testadores de penetração, administradores de sistema, ou técnicos. Mais, tudo é obscurecido por um empacotador de código aberto chamado UPX.
Hackers se autodenominaram “Equipe de arrebatamento” em homenagem ao 2000 Filme de Guy Ritchie. Eles usam ataques automatizados de força bruta para se infiltrar nas redes corporativas antes de se espalharem lateralmente. Em um incidente em outubro, atacantes forçou a senha de uma conta de administrador em um servidor Microsoft Azure. Posteriormente, eles conseguiram se conectar ao servidor usando a Área de Trabalho Remota (PDR). Lá, Snatch lançou outros executáveis. Eles foram projetados para fornecer acesso remoto aos invasores. E é sem ter que depender do servidor Azure comprometido, para 200 máquinas, ou aproximadamente 5% dos computadores da rede interna da empresa.
Os invasores também se conectaram a um controlador de domínio (CC) na mesma rede.
Os invasores também se conectaram a um controlador de domínio (CC) na mesma rede. Então eles monitoraram a rede por várias semanas, também coletando e baixando dados usando um “Update_Collector”.EXE. Adicionalmente, A Snatch Team instalou um utilitário gratuito do Windows chamado Advanced Port Scanner. Os atores da ameaça usaram-no para descobrir máquinas adicionais na rede que poderiam ter como alvo.
Pesquisadores dizem que Snatch foi observado em ataques nos Estados Unidos, no Canadá e em vários países europeus. Em todos os casos, a parte de ransomware do ataque ocorreu vários dias ou semanas após a violação inicial da rede.