Um grupo de ransomware está tentando extorquir a gigante de fabricação de eletrônicos Foxconn, alegando que roubou 8 terabytes de dados da empresa, incluindo esquemas e detalhes de projetos de clientes como Dell, Google, Apple e Nvidia. A Foxconn não respondeu imediatamente ao pedido da WIRED para comentar a validade das alegações, mas a empresa reconheceu que algumas de suas fábricas na América do Norte “sofreram um ataque cibernético” nos últimos dias e que “as fábricas afetadas estão atualmente retomando a produção regular” após interrupções.
A Foxconn é o tipo de alvo que é particularmente atraente para os agentes de ransomware e extorsão de dados, porque é uma empresa enorme com divisões e subsidiárias em todo o mundo que detêm não apenas a sua própria propriedade intelectual, mas também a dos seus clientes. A empresa é uma importante empreiteira de fabricação de componentes eletrônicos ou dispositivos inteiros, incluindo os iPhones da Apple.
“Os grupos de ransomware têm como alvo cada vez mais vítimas que podem impactar a cadeia de abastecimento, seja ela física ou de software program”, afirma Allan Liska, analista de inteligência de ameaças da empresa de segurança Recorded Future. “Portanto, não é surpreendente que uma empresa como a Foxconn seja alvo, uma vez que fabrica e detém dados confidenciais de tantas empresas em todo o mundo.”
Os invasores, conhecidos como grupo Nitrogen, listaram a Foxconn em seu website de violação na segunda-feira. O Nitrogen, que surgiu em 2023, não é o ator de ransomware mais conhecido ou prolífico, mas tem estado constantemente ativo com alguns picos, inclusive no remaining de 2024. O grupo, que normalmente tem como alvo vítimas na América do Norte e na Europa Ocidental, também tem conexões com o notório grupo de ransomware ALPHV/BlackCat.
“Embora os relatórios indiquem que o nitrogênio está ativo desde 2023, nossa primeira observação de sua atividade foi em 2024, visando os painéis de controle dos EUA”, disse Ian Grey, vice-presidente de inteligência da empresa de segurança Flashpoint. “Observamos aproximadamente 50 vítimas desde o lançamento, visando principalmente manufatura, tecnologia e varejo. A manufatura é um dos setores mais visados pelo ransomware em geral.”
A ideia da Foxconn como alvo principal não é apenas conceitual. A empresa enfrentou uma série de tentativas de extorsão, incluindo uma Ataque de dezembro de 2020 em uma instalação mexicana na qual o grupo de ransomware DoppelPaymer exigiu de forma memorável 1.804 bitcoins (no valor de aproximadamente US$ 34 milhões na época). O grupo LockBit atingiu outra instalação da Foxconn no México em maio de 2022 e interrompeu a produção. Mais recentemente, a LockBit atacou uma subsidiária chamada Foxsemicon Built-in Know-how em 2024 com desfigurações e alegações de violação de dados.
Além de tentar extorquir as vítimas ameaçando liberar dados roubados em um ataque, a Nitrogen também frequentemente implanta ransomware tradicional que criptografa os sistemas de um alvo. Os pesquisadores dizem que o próprio programa de ransomware do grupo foi construído a partir do código “Conti 2” amplamente reaproveitado, mas tem um problema. O mecanismo de criptografia do nitrogênio tem um falha de projeto isso torna impossível descriptografar os dados depois de criptografados – mesmo que os invasores queiram liberar os sistemas da vítima. Não está claro se este é um fator na resposta da Foxconn ao incidente esta semana.
O ransomware e a extorsão de dados são um problema inveterado de segurança digital, e os atacantes repetem regularmente os alvos e atingem novos níveis na realização de ataques disruptivos em grande escala. Na semana passada, milhares de escolas nos EUA ficaram paralisadas durante as provas finais e outras atividades de fim de ano, quando a empresa de tecnologia educacional Instructure encerrou o acesso à sua plataforma Canvas após uma violação perpetrada por agentes de extorsão.
Atualizado às 18h15 horário do leste dos EUA, 12 de maio de 2026, para incluir comentários de Ian Grey do Flashpoint.
