Kia Motors America sofre ataque de ransomware, resgate de $ 20 milhões

A Kia Motors America sofreu um ataque de ransomware pela gangue DoppelPaymer, exigindo US $ 20 milhões para um descriptografador e para não vazar dados roubados.

A Kia Motors America (KMA) está sediada em Irvine, Califórnia, e é uma subsidiária da Kia Motors Corporation. A KMA tem cerca de 800 concessionárias nos EUA com carros e SUVs fabricados em West Point, Geórgia.

Ontem, informamos que a Kia Motors America estava sofrendo uma interrupção de TI em todo o país que afetou seus aplicativos móveis UVO Link, serviços de telefonia, sistemas de pagamento, portal do proprietário e sites internos usados ​​por concessionárias.

Ao visitar seus sites, os usuários são recebidos com uma mensagem informando que a Kia está “passando por uma interrupção do serviço de TI que afetou algumas redes internas”, conforme mostrado abaixo.

Um proprietário de Kia twittou que, quando eles tentaram pegar seu carro novo, uma concessionária disse a eles que os servidores estavam desligados devido a um ataque de ransomware.

Quando entramos em contato com a Kia Motors America ontem sobre essas interrupções e relatórios de ransomware, a KMA nos disse que estavam trabalhando para resolver a falha.

“A KMA está ciente das interrupções de TI envolvendo sistemas internos, revendedores e voltados para o cliente, incluindo UVO. Pedimos desculpas por qualquer inconveniente aos nossos clientes e estamos trabalhando para resolver o problema e restaurar as operações normais de negócios o mais rápido possível.” – Kia Motors America.

Se você tiver informações de primeira mão sobre este ou outros ataques cibernéticos não relatados, pode entrar em contato conosco confidencialmente no Signal em  +16469613731  ou no Wire em @ lawrenceabrams-bc.

Kia foi atacada pelo ransomware DoppelPaymer

Hoje, o BleepingComputer obteve uma nota de resgate que nos disseram ter sido criada durante um alegado ataque cibernético da Kia Motors America pela gangue de ransomware DoppelPaymer.

Em uma nota de resgate vista por BleepingComputer, os agressores afirmam que atacaram a Hyundai Motor America, a empresa-mãe da Kia. A Hyundai não parece ser afetada por este ataque.

Nota de resgate da Kia Motors America
Nota de resgate da Kia Motors America
Fonte: BleepingComputer

A nota de resgate contém um link para uma página privada da vítima no site de pagamento DoppelPaymer Tor que mais uma vez afirma que o alvo é ‘Hyundai Motor America’.

A página da vítima do Tor diz que uma “grande quantidade” de dados foi roubada ou exfiltrada da Kia Motors America e que será lançada em 2-3 semanas se a empresa não negociar com os atores da ameaça.

A DoppelPaymer é conhecida por roubar arquivos não criptografados antes de criptografar dispositivos e, em seguida, postar partes em seu site de vazamento de dados para pressionar ainda mais as vítimas a pagar.

Página de pagamento do Tor para o ataque de ransomware Kia
Página de pagamento do Tor para o ataque de ransomware Kia
Fonte: BleepingComputer

Para evitar o vazamento dos dados e receber um descriptografador, a DoppelPaymer está exigindo 404 bitcoins no valor de aproximadamente US $ 20 milhões. Se o resgate não for pago dentro de um prazo específico, o valor aumenta para 600 bitcoins, ou US $ 30 milhões.

Pedido de resgate de 404 bitcoin
Fonte: BleepingComputer

A operação DoppelPaymer não indicou que tipo de dados foi roubado. Com base na quantidade de serviços Kia que estão sofrendo uma interrupção, podemos esperar uma ampla variedade de servidores afetados.

O roubo de arquivos não criptografados se tornou uma tática amplamente usada por operações de ransomware para coagir as vítimas a pagar, com a Emsisoft afirmando que isso afetou mais de 1.300 empresas em todo o mundo.

“Globalmente, mais de 1.300 empresas, muitas delas com sede nos Estados Unidos, perderam dados, incluindo propriedade intelectual e outras informações confidenciais. Observe, este é simplesmente o número de empresas que tiveram dados publicados em sites de vazamento e não leva em consideração as empresas que pagaram para prevenir publicação “, afirma o relatório 2020 State of Ransomware da Emsisoft  .

Outras vítimas conhecidas atacadas pela DoppelPaymer no passado incluem Foxconn ,  Compal ,  PEMEX (Petróleos Mexicanos) , a  cidade de Torrance  na Califórnia,  Newcastle University ,  Hall County na Geórgia , Banijay  Group SAS e  Bretagne Télécom .

A BleepingComputer entrou em contato com a Kia Motors America e a Hyundai Motors America, mas não recebeu uma resposta.

Atualização 2/17/21: Em uma declaração ao BleepingComputer, a Kia Motors America afirmou que não viu nenhuma evidência de que tenha sofrido um ataque de “ransomware”.

A Kia Motors America, Inc. (“Kia”) está passando por uma interrupção prolongada do sistema. Os sistemas afetados incluem o Portal de proprietários Kia, os aplicativos móveis UVO e o portal da Web para assuntos do consumidor. Pedimos desculpas por qualquer inconveniente aos clientes afetados e estamos trabalhando para resolver o problema o mais rápido possível, com o mínimo de interrupção em nossos negócios. Também estamos cientes de especulações online de que a Kia está sujeita a um ataque de “ransomware”. No momento, podemos confirmar que não temos evidências de que a Kia ou quaisquer dados da Kia estejam sujeitos a um ataque de “ransomware”.

Fonte: https://www.bleepingcomputer.com/