Petrobras, gigante brasileira do petróleo, está analisando uma alegação do grupo de ransomware Everest, que alega ter roubado um grande volume de dados técnicos dos sistemas de exploração da empresa. O grupo publicou amostras em seu local de vazamento e afirmou ter obtido cerca de noventa gigabytes de material relacionado a levantamentos sísmicos no Brasil. As amostras incluem nomes de arquivos e metadados que referenciam nós sísmicos, profundidades de hidrofone e informações de navegação. A Petrobras não confirmou a intrusão ou a autenticidade dos arquivos. A empresa também não informou se os sistemas operacionais foram afetados.
Pesquisadores de segurança que analisaram as amostras publicadas disseram que os arquivos parecem ter origem em sistemas de geologia e geofísica, e não em plataformas de suporte empresarial. Esses sistemas armazenam resultados de levantamentos sísmicos usados para orientar decisões de exploração e perfuração em regiões offshore. O material referenciado nas amostras inclui parâmetros técnicos que podem indicar locais de levantamento e métodos de aquisição de dados. Analistas dizem que as informações podem ter valor estratégico porque os dados sísmicos são considerados proprietários dentro do setor de petróleo e gás. Eles também observaram que não há indicação de que o incidente tenha interrompido a produção ou operações ativas de perfuração.
Everest afirmou que a Petrobras tem seis dias para iniciar as negociações. O grupo geralmente utiliza uma abordagem de extorsão dupla que combina roubo de dados com ameaças de publicar informações roubadas. Pesquisadores afirmam que o Everest tem como alvo várias organizações de infraestrutura crítica este ano e tem focado em conjuntos de dados técnicos ligados à engenharia, processos industriais e planejamento de exploração. O modelo do grupo incentiva os afiliados a vazarem dados mesmo quando as vítimas se recusam a pagar. Isso aumenta a probabilidade de que informações roubadas circulem em fóruns clandestinos.
A Petrobras não divulgou quais sistemas podem ter sido acessados ou como um atacante poderia ter entrado em sua rede. A empresa afirmou que está avaliando a reivindicação e não identificou nenhuma interrupção nos ambientes operacionais de tecnologia que suporte atividades offshore. Analistas afirmam que, se os dados forem confirmados como genuínos, o incidente pode levantar questões sobre a proteção dos sistemas de dados de campo. Arquivos de exploração podem influenciar decisões de investimento, posicionamento competitivo e planejamento de longo prazo em bacias offshore. A exposição desses arquivos poderia reduzir a confidencialidade em projetos estratégicos.
A alegação também destaca a mudança mais ampla do foco dos atacantes para informações técnicas de alto valor detidas por empresas industriais e de energia. Em anos anteriores, os agentes de ransomware frequentemente miravam redes corporativas que continham registros financeiros ou dados de clientes. Os analistas agora observam maior atenção a arquivos de engenharia, diagramas operacionais e dados de exploração, pois esses registros têm utilidade a longo prazo e podem ter maior influência em tentativas de extorsão. A alegação da Petrobras está alinhada com esse padrão e reflete ameaças contínuas às organizações do setor de energia que gerenciam ambientes extensos de dados de campo.
A Petrobras não forneceu detalhes sobre as etapas de contenção ou se terceiros respondentes a incidentes estão envolvidos. Espera-se que a empresa revise logs de acesso, backups e conexões com fornecedores para determinar se algum mecanismo de persistência foi introduzido. Organizações do setor de petróleo e gás estão monitorando a situação e revisando seus próprios controles para sistemas que armazenam dados de exploração, resultados sísmicos e arquivos técnicos de projetos. Especialistas em segurança observam que esses sistemas podem operar fora das redes corporativas tradicionais e, portanto, exigem atenção focada.