Relatório de (in) segurança: Servidores aniquilados, phishing à venda e temporada de vazamentos no verão do hemisfério norte

02.07.2024

Voltar

Em nosso relatório de junho sobre os maiores incidentes de SI, abordamos os incidentes recentes:  um único clique interrompeu as operações de uma empresa inteira, os gerentes de vendas forneceram informações de clientes a hackers e dados de grandes empresas foram vazados.

Snowleak

O que aconteceu:  Snowflake, o maior provedor de serviços em nuvem do mundo, foi vítima de um ataque cibernético.

Como aconteceu: Agentes não identificados atacaram a  Snowflake e obtiveram dados dos clientes da empresa. O número exato de vítimas ainda é desconhecido. No entanto, supõe-se que esse vazamento possa ser um dos maiores da história, já que gigantes como AT&T, HP, MasterCard etc. estavam usando os serviços da Snowflake.

Atualmente, os crackers estão se aproveitando de nomes de usuário e senhas roubados para contornar os Sistema de Autenticação Multifatorial e obter acesso às contas dos clientes na nuvem. De acordo com relatos da mídia, pelo menos 160 contas foram comprometidas. Dados de clientes ou de funcionários do Santander, Ticketmaster e Advance Auto Parts já foram colocados à venda.

Inicialmente, a Snowflake negou o ataque e até exigiu que a empresa de segurança da informação Hudson Rock excluísse um relatório que afirmava que o provedor de serviços em nuvem havia sido vítima de um ataque cibernético. Passados alguns dias, a empresa admitiu o vazamento devido ao comprometimento das credenciais dos funcionários devido à ação dos ladrões de informações.

Parada de duas semanas

O que aconteceu: Um grupo criminoso realizou um ataque cibernético contra o maior fabricante de dispositivos de entrada do mundo, a Key Tronic.

Como aconteceu: No mês passado, a Key Tronic confirmou ter enfrentado um ataque que levou a uma violação de dados e à interrupção das operações em seus registros na Comissão de Valores Mobiliários dos EUA (SEC). Nela, os representantes da empresa informaram que a organização havia sofrido um ataque cibernético que interrompeu seu trabalho. O ataque afetou os aplicativos de negócios, bem como os sistemas de relatórios financeiros e operacionais

A Key Tronic também afirmou que os crackers obtiveram acesso aos dados dos usuários. O grupo Black Basta reivindicou a responsabilidade pelo ataque. Eles relataram ter obtido 530 GB de dados corporativos, incluindo:

• Informações dos passaportes dos empregados 
• Números da seguridade social
• Registros financeiros
• Dados de engenharia
• Documentos corporativos.

Devido ao ocorrido, a Key Tronic interrompeu as operações nos EUA e no México por duas semanas. Cerca de US$ 600.000 foram gastos na localização do incidente e com a contratação de um especialista em sistemas de informação.

Crime e castigo

O que aconteceu:  Um funcionário demitido removeu 180 servidores virtuais de um ex-empregador e foi condenado a mais de 2 anos de prisão.. 

Como aconteceu: Em outubro de 2022, o inspetor de qualidade Kandula Nagaraju foi demitido da National Computer Systems (NCS) por mau desempenho no trabalho. O fato da demissão deixou o ex-funcionário "confuso e chateado", pois ele acreditava ter feito boas contribuições para a NCS.

Após ser demitido, Nagaraju descobriu que suas credenciais NCS ainda estavam ativas. No início de 2023, ele as usou para se vingar de seu antigo empregador. Em 18 e 19 de março, o ex-funcionário insatisfeito excluiu o sistema de teste autônomo da NCS, composto por 180 servidores, usando um script que ele havia desenvolvido.

Em abril de 2023, a empresa entrou na justiça. As provas foram logo encontradas: um script de exclusão de dados e um histórico de pesquisa de uso de scripts semelhantes falavam por si só. No final, o ex-inspetor de qualidade foi condenado a 2 anos e 8 meses de prisão. Após o incidente, a NCS declarou que a conta de Nagaraju havia permanecido ativa devido ao "fator humano". A empresa gastou US$ 678.000 para restaurar os servidores.

Obter resposta com phishing

O que aconteceu:  O serviço de marketing por e-mail da GetResponse enfrentou uma enorme violação de dados.

Como aconteceu: Em 5 de junho, a equipe de segurança da GetResponse identificou acesso não autorizado a uma das ferramentas internas de suporte ao cliente. Isso permitiu que o hacker obtivesse as credenciais de um dos funcionários e conseguisse acessar as contas de 10 clientes.

Um dos clientes, cujos dados foram comprometidos, era a CoinGecko, uma plataforma de troca de criptomoedas. O agente mal-intencionado exportou 1.916.596 contatos juntamente com informações de contas pessoais da plataforma e enviou e-mails de phishing para 23.723 endereços.

A GetResponse afirma que o ataque foi o resultado de uma cadeia complexa na qual vulnerabilidades em um software fornecido por terceiros foram exploradas. Após o incidente, a empresa notificou as pessoas afetadas, informou as autoridades competentes e começou a auditar todos os aplicativos de terceiros.

O clique fatal

O que aconteceu:  Uma organização médica sofreu um ataque de ransomware porque um arquivo malicioso foi carregado por um funcionário..

Como aconteceu: A Ascension, o maior sistema de saúde privado dos Estados Unidos, informou que um ataque de ransomware em maio de 2024 foi causado pelo upload acidental de um arquivo malicioso por um funcionário. A empresa acredita que a ação não foi intencional, pois o funcionário pensou que estava baixando um arquivo seguro.

A Ascension também afirmou que os crackers acessaram sete servidores de arquivos e roubaram dados que provavelmente continham informações de saúde protegidas (PHI) e informações de identificação pessoal.

A empresa ainda não se recuperou totalmente do ataque cibernético. Ela teve que suspender parte de seus processos de negócios, incluindo procedimentos médicos, e mudar temporariamente para um registro de procedimentos em papel.

AI, meus deus, vazaram dados da AMD

O que aconteceu:  Os dados da AMD, a maior fabricante de eletrônicos do mundo, foram disponibilizados para venda na darknet.

Como aconteceu: Em 17 de junho, uma postagem apareceu em um fórum de crackers com dados confidenciais da AMD à venda. De acordo com o autor da postagem, a AMD sofreu um ataque em junho de 2024. Os dados afetados incluíam informações sobre:

• Futuros produtos
• Folhas de especificações
• Dados de empregados e clientes
• Informação financeira
• Código fonte
• Firmware.

Anteriormente, o mesmo invasor havia vendido dados da AT&T, Home Depot, Europol, General Electric e outras organizações conhecidas.

O porta-voz da empresa disse à mídia que o site de um fornecedor terceirizado havia sido hackeado e continha "uma quantidade limitada de informações relacionadas às especificações usadas para montar determinados produtos AMD".

Negócios sujos

O que aconteceu: Foi descoberto um esquema de fraude em grande escala envolvendo a venda de dados para direcionar e-mails de phishing.

Como aconteceu: A Épsilon Data Management é uma empresa de marketing dedicada à análise e à venda de dados para fins de marketing. A organização possui um amplo conjunto de dados e algoritmos que ajudam a prever o comportamento das pessoas e a identificar possíveis compradores de determinados produtos e serviços.

Por mais de 10 anos, um ex-alto executivo e um diretor de vendas da empresa, Robert Reger e David Little, venderam a fraudadores listas com as seguintes informações sobre os consumidores:

• Nomes e sobrenomes
• Idade
• Endereços pessoais e de e-mail
• Preferências dos consumidores
• Histórico de compras

Os fraudadores usaram esses dados para enviar e-mails de phishing, enganando as vítimas para que enviassem dinheiro.

A audiência de julgamento está marcada para setembro de 2024. Reger e Lytle podem pegar uma pena máxima de 20 anos de prisão por cada acusação de fraude postal e eletrônica.

Descoberto molho secreto da maçã

O que aconteceu: Um agente de ameaças alega ter vazado o código-fonte das ferramentas internas da Apple.

Como aconteceu: Em 18 de junho, o cracker publicou na darknet o código-fonte das ferramentas internas da Apple: Apple-HWE-Confluence-Advanced, AppleMacroPlugin e AppleConnect-SSO.

Sabe-se muito pouco sobre os dois primeiros, mas a ferramenta de autenticação rápida AppleConnect-SSO permite que os funcionários acessem os sistemas e serviços internos da empresa e os aplicativos iOS, incluindo Concierge, MobileGenius, EasyPay, AppleWeb, etc.

Ainda na postagem, o invasor afirma que os dados foram violados em junho e que a própria empresa é a culpada pelo vazamento de dados. A Apple Inc. ainda não comentou as informações sobre o incidente.

Problemas de revenda

O que aconteceu: A CDK Global, fornecedora de soluções SaaS para concessionárias automotivas, foi atingida por um ataque de ransomware.

Como aconteceu: A CDK Global desenvolve uma plataforma que gerencia toda a operação de uma empresa, do CRM ao estoque. Mais de 15.000 revendedores de automóveis na América do Norte contam com o software da CDK Global.

No entanto, devido ao ataque cibernético, a empresa teve que desligar seus sistemas de computador, telefones e aplicativos para rastrear o incidente. Essa interrupção também afetou as operações de muitas concessionárias de automóveis que usam o software da CDK Global.

Relatórios de fontes anônimas sugerem que a empresa encontrou o ransomware e está atualmente negociando com a quadrilha para obter uma ferramenta de descriptografia e evitar o vazamento dos dados roubados..

 

Dados pessoais Ex-funcionários Fator humano