Ataque de ransomware da Foxconn mostra que nada é seguro para sempre

Um grupo de ransomware está tentando extorquir a gigante da fabricação de eletrônicos Foxconnalegando que roubou 8 TB de dados da empresa, incluindo esquemas e detalhes do projeto de clientes, incluindo Dell, Google, Maçãe Nvidia. A Foxconn não respondeu imediatamente ao pedido da WIRED para comentar a validade das alegações, mas a empresa reconheceu que algumas de suas fábricas na América do Norte “sofreram um ataque cibernético” nos últimos dias e que “as fábricas afetadas estão atualmente retomando a produção normal” após interrupções.

A Foxconn é o tipo de alvo que é particularmente atraente para os agentes de ransomware e extorsão de dados, porque é uma empresa enorme com divisões e subsidiárias em todo o mundo que detêm não apenas a sua própria propriedade intelectual, mas também a dos seus clientes. A empresa é uma chave empreiteiro de fabricação para eletrônico componentes ou dispositivos inteiros, incluindo iPhones da Apple.

“Os grupos de ransomware têm como alvo cada vez mais vítimas que podem impactar a cadeia de abastecimento, seja ela física ou de software”, afirma Allan Liska, analista de inteligência de ameaças da empresa de segurança Recorded Future. “Portanto, não é surpreendente que uma empresa como a Foxconn seja alvo, uma vez que fabrica e detém dados confidenciais de tantas empresas em todo o mundo.”

Os invasores, conhecidos como grupo Nitrogen, listaram a Foxconn em seu site de violação na segunda-feira. O Nitrogen, que surgiu em 2023, não é o ator de ransomware mais conhecido ou prolífico, mas tem estado constantemente ativo com alguns picos, inclusive no final de 2024. O grupo também tem conexões com o notório ALPHV/Gato Preto grupo de ransomware.

A ideia da Foxconn como alvo principal não é apenas conceitual. A empresa enfrentou uma série de tentativas de extorsão, incluindo uma Ataque de dezembro de 2020 em uma instalação mexicana na qual o grupo de ransomware DoppelPaymer exigiu de forma memorável 1.804 Bitcoin (no valor de aproximadamente US$ 34 milhões na época). O grupo LockBit atingiu outra instalação da Foxconn no México em maio de 2022 e interrompeu a produção. Mais recentemente, a LockBit atacou uma subsidiária chamada Foxsemicon Integrated Technology em 2024 com desfigurações e alegações de violação de dados.

Além de tentar extorquir as vítimas ameaçando liberar dados roubados em um ataque, a Nitrogen também frequentemente implanta ransomware tradicional que criptografa os sistemas de um alvo. Os pesquisadores dizem que o próprio programa de ransomware do grupo foi construído a partir do código “Conti 2” amplamente reaproveitado, mas tem um problema. O mecanismo de criptografia do nitrogênio tem um falha de projeto isso torna impossível descriptografar os dados depois de criptografados – mesmo que os invasores queiram liberar os sistemas da vítima. Não está claro se este é um fator na resposta da Foxconn ao incidente esta semana.

O ransomware e a extorsão de dados são um problema inveterado de segurança digital, e os atacantes repetem regularmente os alvos e atingem novos níveis na realização de ataques disruptivos em grande escala. Na semana passada, milhares de escolas nos EUA ficaram paralisadas em meio às provas finais e outras atividades de fim de ano, quando a empresa de tecnologia educacional Instructure encerrou o acesso à sua plataforma Canvas após uma violação perpetrada por atores de extorsão.