Relatório de (in) segurança Ataque cibernético contra a Dell, vazamento de nuvem da Fortinet, chantagem com um funcionário
04.10.2024
VoltarUm resumo dos incidentes de alto nível de SI que ocorreram ou vieram à tona no mês passado está aqui. Em setembro, testemunhamos ataques a fornecedores de SI e o vazamento de dados de milhões de estado-unidenses.
Engenheiro ao contrário
O que aconteceu: um funcionário bloqueou os servidores de seu empregador e exigiu um resgate.
Como aconteceu: Em 25 de novembro de 2023, os funcionários de uma empresa estado-unidense não identificada receberam um e-mail com o título “Sua rede foi invadida”. O e-mail afirmava que todos os administradores de TI haviam perdido o acesso às suas contas e que os backups do servidor haviam sido destruídos.
O e-mail também continha uma ameaça. O agente mal-intencionado desconhecido prometeu desligar 40 servidores aleatórios da empresa todos os dias durante 10 dias, a menos que 20 bitcoins (~$750.000 na época) fossem pagos a ele).
A investigação, coordenada pelo FBI, revelou que o invasor era Daniel Rhyne, de 57 anos. Ele trabalhou para a mesma empresa como engenheiro.
Usando seu conhecimento da empresa e de seus sistemas, ele bloqueou 254 servidores Windows da empresa. Nem os administradores nem os usuários podiam fazer login, pois as contas ou haviam sido excluídas ou tinham uma senha diferente da anterior. Também não havia acesso aos backups, pois Rhyne os havia excluído.
O invasor foi identificado devido às suas próprias pesquisas de dados. O FBI descobriu que Rhyne usou uma máquina virtual oculta e um laptop pessoal para aprender a apagar contas, limpar registros de eventos e alterar senhas de usuários de domínio usando a linha de comando.
Agora, Rhyne enfrenta várias acusações que, quando combinadas, podem resultar em 35 anos de prisão, além de uma multa de US$ 750.000,00.
Forte? Net
O que aconteceu: O fornecedor de IS Fortinet foi vítima de um ataque cibernético.
Como aconteceu: Em 12 de setembro, uma pessoa desconhecida alegou ter invadido a Fortinet. Em uma publicação em um fórum secreto, o agente mal-intencionado relatou ter obtido 440 GB de dados do servidor Sharepoint da empresa. O invasor também deixou credenciais para fazer login no armazenamento, onde todos os dados roubados estariam localizados, e disse que tentou chantagear a Fortinet, mas foi rejeitado.
No mesmo dia, os representantes do gigante da tecnologia da informação confirmaram o vazamento de dados, informando que "um indivíduo obteve acesso não autorizado a uma pequena quantidade de dados de clientes que estavam guardados em uma instância de armazenamento de dados em nuvem de terceiros".
A Fortinet também disse em um comunicado à imprensa publicado em seu site que "o incidente afetou menos de 0,3% de sua base de clientes e que não resultou em nenhuma atividade maliciosa direcionada aos clientes".
Não valorizam o que receberam de graça
O que aconteceu: os dados de 100 milhões de estado-unidenses foram vazados para o domínio público.
Como aconteceu: A MC2 Data é uma empresa de verificação de antecedentes. Ela coleta e compila informações sobre pessoas de fontes disponíveis publicamente para criar um perfil de uma pessoa. Ele contém todas as informações sobre registros criminais, locais de trabalho, parentes etc. Esses perfis são usados por locadores e agentes de segurança para saber se é aceitável cooperar com a pessoa ou não.
Uma investigação recente revelou que o banco de dados de 2,2 TB da MC2 Data, com mais de 106 milhões de registros, estava disponível publicamente na Internet e não era protegido por senha. Os especialistas estimam que o vazamento afetou os dados de 100 milhões de americanos. Ele continha muitas informações diferentes, desde nomes completos e endereços de e-mail até documentos legais e registros de imóveis. O banco de dados foi descoberto em 7 de agosto, e não se sabe por quanto tempo ele permaneceu em acesso público.
No momento, o acesso ao banco de dados está fechado e ainda não há informações oficiais da empresa disponíveis, mas presume-se que esse incidente ocorreu devido a erro humano e configuração incorreta do sistema.
BingX foi atacada
O que aconteceu: A bolsa de criptomoedas BingX perdeu US$ 44 milhões devido a um ataque cibernético.
Como aconteceu: Em 9 de setembro, especialistas em segurança de blockchain notaram atividades suspeitas - milhões de dólares estavam sendo retirados da bolsa BingX. Como se descobriu mais tarde, tratava-se de um ataque cibernético, que os proprietários da bolsa tentaram esconder. Eles escreveram nas mídias sociais sobre um desligamento temporário devido à “manutenção da carteira”, mas depois reconheceram o “acesso anormal à rede, potencialmente indicando um ataque de crackers à carteira quente do BingX”.
Em resposta ao ataque, a empresa começou a transferir ativos e suspendeu os saques, e declarou que "houve uma pequena perda de ativos, mas o valor é pequeno e está sendo calculado no momento". No entanto, várias empresas, incluindo a SlowMist, que foi contratada pela bolsa para uma auditoria, descobriram que o valor roubado era muito mais que "pequeno" e variava de US$ 44 milhões a US$ 48 milhões.
Posteriormente, a bolsa contratou especialistas em segurança de criptomoedas para rastrear os movimentos da moeda roubada. Também é digno de nota que a BingX ofereceu ao cracker que a invadiu a possibilidade de cooperar com a bolsa: ‘transfira todos os fundos roubados de volta, e então a BingX interromperá qualquer demanda e, como agradecimento, oferecerá 10% dos ativos roubados’.
O problema vem sozinho?
O que aconteceu: Um invasor acessou dados sensíveis da Dell.
Como aconteceu: Em 19, 22 e 25 de setembro, o mesmo hacker publicou três postagens contendo dados da Dell em um fórum secreto. O invasor inicialmente alegou que os dados foram compilados a partir de diferentes invasões, mas depois admitiu que havia apenas uma invasão e que ele estava estrategicamente vazando os dados aos poucos.
A primeira publicação incluía dados de quase 11.000 funcionários da DELL:
- Nomes completos
- Status de trabalho
- IDs
A segunda continha 3,5 GB de dados diversos não compactados:
- Tabelas de dados do Jira
- Padrões de migração
- Informações de configuração do sistema
- Credenciais de usuários
- Informações sobre vulnerabilidades de software
- Questões de desenvolvimento, etc.
A última publicação continha quase 500 MB de imagens, PDF, vídeos, documentos de projetos, dados MFA, etc.
Após o primeiro incidente, os representantes da Dell informaram que a empresa estava ciente do problema e havia iniciado uma investigação. No entanto, não houve comentários quando perguntados sobre invasões subsequentes.