Fontes que acompanham o incidente dizem qiue ao menos 1.600 computadores teriam sido comprometidos
O grupo que opera o ransomware RansomExx declarou ter atacado a rede de varejo brasileira Lojas Renner. Uma mensagem escrita em inglês indica o suposto comprometimento de ativos digitais com criptografia forte. No final da tarde, a Renner emitiu um comunicado ao mercado confirmando o incidente (veja imagem abaixo). No mesmo comunicado, a empresa salienta que “atua de forma diligente e com foco para mitigar os efeitos causados, com a maior parte das operações já restabelecidas e tendo sido verificado que os principais bancos de dados permanecem preservados. Em nenhum momento as lojas físicas tiveram atividades interrompidas”.
Segundo fontes que acompanham o incidente ouvidas pelo CISO Advisor, ao menos 1.600 computadores teriam sido comprometidos, mas o número poderia ser maior segundo algumas versões. A Tivit foi mencionada no noticiário como sendo host de parte dos servidores da Renner, mas no dia 20 de agosto pela manhã emitiu o seguinte comunicado:
“A TIVIT, multinacional brasileira e one-stop-shop de tecnologia, informa que seus milhares de clientes estão com todos os ambientes operando normalmente e sem nenhum impacto. Informa ainda que a companhia não sofreu nenhum ataque em seus data centers, nem em suas redes corporativas e tampouco em seus servidores.
Os cibercriminosos enviaram uma mensagem de texto à Renner, que ficou gravada no diretório raiz dos HDs. Ela está transcrita abaixo. A mensagem contém um endereço na deep web e parte dele aponta para o site de vazamentos do RansomExx. Esta é a mensagem:
Hello, Lojas Renner S.A. (lojasrenner.com.br)! First of all it is just a business and the only thing we are interested a in is money. Your files were encrypted. Please don’t try to modify or rename any of encrypted files, because it can result in serious data loss and decryption failure. Here is your personal link with full information regarding this | accident (use Tor)
Trecho a mensagem supostamente enviada à Renner pelos operadores do RansomExx
Uma imagem de conversa de WhatsApp que circulou nas redes durante a tarde indicava que o data center havia sido comprometido, embora as estações de trabalho estejam preservadas segundo a conversa. Há comentários de que o valor do resgate em moeda criptográfica se aproxima de R$ 1 milhão segundo algumas fontes e R$ 1 bilhão segundo outras, sendo R$ 1 milhão (ou também US$ 1 milhão) as hipóteses mais razoáveis.
No momento em que este texto foi finalizado o site das lojas Renner estava inativo. O site da Realize Soluções Financeiras, empresa que opera o cartão de crédito da empresa, estava com a área de pagamentos indisponível (veja imagens abaixo).
O RansomExx é o mesmo que atingiu na semana passada a empresa Gigabyte, fabricante de motherboards, a Embraer em novembro de 2020 e o Grupo Ultra em janeiro deste ano, segundo o site de vazamentos do grupo.
Numa postagem no Linkedin, o jornalista Maurício Renner, diretor do portal Baguete, informou que os problemas começaram a ser notados às 11h50 e em mais de uma loja.
A Renner tem 24 mil funcionários, cerca de 600 lojas e um valor de mercado da ordem de R$ 40 bilhões. Ela fatura anualmente perto de R$ 8 bilhões.
Página de “maintenance” exibida pelo site da Renner
Fonte: Ciso Advisor