Os cibercriminosos que operam o ransomware Maze publicaram em seu site informações indicando que a rede da empresa de distribuição de energia CPFL, sediada em Campinas, SP, está comprometida desde maio deste ano. Para comprovar, os operadores do Maze liberaram uma amostra contendo 5% do material exfiltrado da empresa: são 604MB num arquivo comprimido em formato ZIP chamado ‘contratos.zip’.
Se os números estiverem corretos, isso significa que os cibercriminosos baixaram 12,08 GB de dados da distribuidora. O grupo apresentou também supostas provas de que invadiu a rede da LG Electronics na Coréia do Sul e de lá exfiltrou grande quantidade de dados. Nesse caso, o grupo exibiu apenas telas obtidas de um dos bancos de dados da companhia, indicando que foram baixados pouco mais de 4GB, representando 1% do total em poder do grupo. Portanto, o total baixado pode ser da ordem de 400GB.
O CISO Advisor solicitou à assessoria de imprensa da CPFL a confirmação dessas informações mas não recebeu resposta até o fechamento desta matéria. Ela será atualizada assim que informações da empresa forem recebidas.
O site da CPFL está em operação, tanto na parte institucional quanto na de atendimento aos clientes. O arquivo contratos.zip colocado para download contém, entre outros documentos comerciais da CPFL, os contratos de trabalho entre a empresa e os conselheiros brasileiros e chineses, sem no entanto registro da sua remuneração. Outros documentos dizem respeito a acordos com outras empresas parceiras, assim como entre subsidiádias e suas parceiras em geração de energia por exemplo.
A CPFL Energia opera em geração e distribuição de energia elétrica no sul e sudeste do Brasil e desde 2017 tem 83% de seu capital controlado pela chinesa State Grid Brazil Power Participações S.A.
Não é a primeira vez que uma empresa do setor de energia elétrica é atingido por ransomware. Sabe-se que isso já aconteceu na operação da Energisa em Mato Grosso do Sul, onde teria sido pago um resgate da ordem de R$ 3 milhões. Uma semana atrás houve incidente na rede de TI da Light. A estratégia atual dos cibercriminosos que operam o Maze e outras variedades de ransomware é ameaçar com a publicação dos dados para que a empresa pague o resgate. Como na Europa isso é considerado mais barato do que pagar as multas da GDPR, os cibercriminosos supõem que a ameaça tenha efeito – embora, é claro, nem sempre isso aconteça.
Acesse nosso site e conheça nossas soluções