A ExaGrid, um fabricante de equipamentos de backup, foi atingida por um ataque cibernético do ransomware Conti em maio deste ano. Os cibercriminosos obtiveram acesso a dados de funcionários e clientes, bem como a contratos confidenciais. Agora, o portal francês LeMagIT informou que em 13 de maio deste ano a ExaGrid pagou um resgate de 50,75 bitcoins (aproximadamente US$ 2,6 milhões) aos cibercriminosos pra recuperar seus sistemas. Ironicamente, a ExaGrid é fornecedora de um robusto sistema de backup anti-ransomware.

Segundo o portal francês, as negociações teriam começado em 4 de maio. As fontes do LeMagIT forneceram supostos diálogos das negociações, um dos quais seria este: “Como você já sabe, nós nos infiltramos em sua rede e permanecemos nela por mais de um mês (o suficiente para estudar toda a sua documentação), criptografamos seus servidores de arquivos, servidores SQL, roubamos todas as informações importantes com um volume total de mais de 800 GB”. Os agressores também teriam roubado dados pessoais de clientes e funcionários da empresa, contratos comerciais, acordos de sigilo, dados financeiros, declarações fiscais, etc. O resgate inicial foi de US$ 7,48 milhões.

O ExaGrid quis testar a descriptografia em uma amostra de teste e com isso as negociações duraram até 13 de maio. A empresa ofereceu um resgate pouco superior a US$ 1 milhão, mas os hackers só reduziram o valor em US$ 1 milhão. “Entendemos que seu trabalho é desafiador e requer algum esforço para convencer os membros do conselho. Mas ainda estamos longe de concordar”, disse o hacker a um negociador da ExaGrid.

Uma semana depois, o negociador ExaGrid aumentou sua oferta para US$ 2,2 milhões e os cibercriminosos reduziram o resgate para US$ 3 milhões. As partes logo concordaram em uma quantia de US$ 2,6 milhões. A ferramenta de descriptografia foi fornecida por meio de uma conta no Mega.nz. Dois dias depois, um negociador do ExaGrid pediu que os operadores do Conti enviassem a ferramenta de descriptografia novamente porque “os especialistas a excluíram acidentalmente”. Os cibercriminosos a disponibilizaram para download no dia seguinte.