O grupo de ransomware Rhysida publicou quase dois terabytes de dados internos roubados do Gemini Group, um fabricante com sede em Michigan que fornece ferramentas e materiais para grandes empresas automotivas. O vazamento segue um prazo de resgate que expirou no final de outubro e expõe registros confidenciais pertencentes a funcionários e clientes.
A Rhysida listou o Gemini Group em seu site de vazamento e divulgou aproximadamente 1,9 terabytes de dados contendo mais de 1,7 milhão de arquivos. O material roubado supostamente inclui registros de folha de pagamento, documentos de seguro, bancos de dados de clientes, comunicações internas e relatórios de produção. Pesquisadores de segurança confirmaram que o conjunto de dados contém detalhes financeiros, informações pessoais de funcionários e documentos da empresa que podem revelar operações internas e estruturas de preços.
O Gemini Group opera 18 instalações nos Estados Unidos e no México e emprega vários milhares de trabalhadores. A empresa confirmou que sofreu um incidente de segurança cibernética, mas não forneceu detalhes sobre como os invasores obtiveram acesso, se o ransomware foi implantado ou se algum pedido de resgate foi pago. A empresa disse que está trabalhando com especialistas em segurança cibernética e policiais para determinar o escopo da violação.
O vazamento de dados, publicado em 31 de outubro, levanta preocupações significativas com privacidade e negócios. Os arquivos que circulam online parecem conter nomes de funcionários, cargos, datas de contratação, datas de nascimento, endereços, números de previdência social, informações salariais e detalhes de seguro de saúde. Alguns documentos também fazem referência a pedidos de compra e comunicações com fornecedores que podem expor estratégias e relacionamentos comerciais.
Analistas de segurança cibernética dizem que a exposição de dados pessoais e corporativos tão detalhados pode ter consequências de longo prazo. Identificadores pessoais, como números de previdência social, não podem ser alterados facilmente, criando um risco contínuo de roubo de identidade e fraude financeira. Ao mesmo tempo, a divulgação de dados comerciais pode permitir que os concorrentes estudem a dinâmica ou os preços da cadeia de suprimentos, potencialmente prejudicando as relações comerciais do Gemini Group.
Rhysida tem como alvo cadeias de suprimentos industriais
Rhysida, uma operação de ransomware observada pela primeira vez em 2023, foi associada a vários ataques a instituições de manufatura, saúde e educação. O grupo normalmente obtém acesso por meio de credenciais comprometidas ou sistemas de acesso remoto vulneráveis antes de roubar dados e ameaçar a divulgação pública. Especialistas acreditam que a Rhysida se concentra em organizações com operações críticas, onde o tempo de inatividade pode pressionar as vítimas a pagar resgates.
Nesse caso, os invasores parecem ter priorizado o roubo de dados em vez da interrupção do sistema. O vazamento de grandes volumes de documentação sugere um processo de exfiltração organizado projetado para infligir danos financeiros e de reputação. O anúncio do grupo descreveu o Gemini Group como parte de uma campanha direcionada ao que chamou de “operadores industriais estratégicos”, uma alegação que se alinha com incidentes recentes envolvendo outros fabricantes norte-americanos.
Os analistas de segurança observam que as redes de manufatura e suprimentos industriais se tornaram alvos importantes por causa de seus sistemas interconectados e dependência de fornecedores terceirizados. Uma violação em um fornecedor pode expor informações confidenciais em várias empresas, ampliando a escala de cada ataque. Em setores como a produção automotiva, onde a coordenação da cadeia de suprimentos digital é essencial, os riscos vão além de uma única empresa.
A violação do Gemini Group ilustra como os invasores veem cada vez mais os fornecedores como portas de entrada para redes maiores. Os fornecedores industriais geralmente armazenam documentação do cliente, projetos de design e dados operacionais que são valiosos para agentes de ameaças criminosos e alinhados ao estado. Especialistas alertam que essas redes devem ser tratadas como infraestrutura crítica que exige os mesmos padrões de segurança cibernética dos principais fabricantes.
A empresa não comentou publicamente sobre a autenticidade dos arquivos vazados, mas os fóruns de segurança cibernética que analisaram as amostras relatam que os dados parecem legítimos. O Gemini Group continua trabalhando com investigadores externos, enquanto os funcionários afetados estão sendo aconselhados a monitorar contas financeiras e de crédito e observar tentativas de phishing que usam informações roubadas.
O incidente destaca a crescente sobreposição entre violações de dados e campanhas de ransomware em setores industriais. Mesmo quando os sistemas permanecem operacionais, o roubo de informações confidenciais pode ser prejudicial o suficiente para interromper a continuidade dos negócios. Para empresas como o Gemini Group, o desafio agora está em proteger as operações digitais em uma ampla rede de fornecedores, garantindo aos parceiros que a integridade dos dados pode ser restaurada.