REvil afirma ser autor de ataque no Grupo Fleury 6z1u1k

O REvil, mesmo grupo de hackers que atacou a JBS no início do mês, reivindicou a autoria do possível ataque ao Grupo Fleury, especulado após a empresa informar a queda dos seus sistemas na semana ada. 

De acordo com o site CISO Advisor, os operadores do ransomware publicaram às 13h da última sexta-feira, 25, em seu site de vazamentos na dark web, seis imagens que alegam terem sido baixadas no o que obtiveram à rede de medicina diagnóstica.

As imagens são de dois documentos pessoais, duas solicitações de exames e duas faturas. No total, os cibercriminosos afirmaram ter 450 GB de dados em seu poder, roubados de servidores da empresa, e ameaçaram compartilhar ou vender as informações em três dias.

“Eles são realmente respeitados. Políticos e alguns VIPs confiam nessa organização. Temos 450gb de dados que contêm informação médica sensível, transações bancárias, resultados de exames, emails/telefones”, dizia o post publicado na dark web.

Ainda de acordo com o site especializado em cibersegurança, o prazo de três dias já havia sido estampado em computadores do Fleury e obtido dois dias atrás pelo portal de notícias norte-americano Bleeping Computer.

A tela dizia que o valor do resgate era de 23.186,75 moneros, uma moeda criptográfica cujo rastreamento é difícil ou impossível segundo especialistas. Na conversão para dólares, esse valores seria de US$ 5 milhões (cerca de R$ 24,7 milhões).

O REvil é um dos grupos cibercriminosos mais lucrativos do mundo e acredita-se que a maioria de seus membros residam na Rússia ou em países que faziam parte da ex-União Soviética. Além da JBS, ele tem em sua lista de vítimas Honeywell, Acer e a Braskem.

Trata-se não apenas de um ransomware, mas de uma plataforma que controla ataques de ransomware. Ele opera como um “ransomware as a service”, que aluga seus serviços e cobra uma porcentagem dos resultados. 

Os “afiliados” são as pessoas que distribuem o malware por meio de campanhas de phishing.

Segundo o jornal Valor Econômico, os invasores usaram uma tática de invasão conhecida como movimento lateral, explorando falhas simples em contas de usuários comuns até alcançarem contas com nível de .

Desta forma, os cibercriminosos teriam chegado ao servidor de controle da rede da empresa e enviado comandos aos pontos finais da rede — que podem ser desde computadores de funcionários a dispositivos conectados, como smartphones e câmeras de vigilância.

Oficialmente, o Grupo Fleury não assumiu a ocorrência de um incidente com ransomware nem o pagamento de um resgate, tratando o caso como uma “tentativa de ataque cibernético”.

A última nota da companhia foi divulgada na sexta-feira, 25, quando informou que havia alcançado “significativa evolução na retomada segura das nossas plataformas de tecnologia, com apoio de empresas especialistas de referência”. 

“Estamos gradualmente normalizando nossas operações de forma controlada, com os devidos testes de segurança sendo executados, priorizando a integração automática de sistemas em hospitais em nossos ambientes, que vem ocorrendo de forma gradativa e bem-sucedida”, dizia o comunicado.

Na ocasião, os sistemas das unidades de atendimento já estavam restabelecidos e os serviços da central de atendimento estavam operacionais para a marca Fleury para realização de agendamentos de exames — faltando as demais marcas do grupo.

No site da companhia, não há mais nenhum alerta sobre a queda de sistemas.

O possível ataque pegou o Fleury em um ótimo momento, no qual o laboratório está faturando alto com os exames para detectar casos de Covid-19, que respondem por 11,1% da receita no quarto trimestre do ano ado.

No período, a receita líquida subiu 28,9%, para R$ 928,2 milhões, e o lucro aumentou 148%, para R$ 139 milhões.