Relatório de (in) segurança: Extorsão de baguetes, sabotagem de Disney, desfile de
06.12.2024
VoltarChegou a hora de analisar os incidentes de segurança da informação interessantes e de alta repercussão ocorridos em novembro. A seleção inclui um golpe multimilionário aplicado por um ex-gerente de alto escalão, um envenenador cibernético na Disney World e ecos do hack do MOVEit na Amazon - e isso não é tudo.
Alergia à demissão
O que aconteceu: Um ex -funcionário da Disney sabotou seu empregador.
Como aconteceu: Michael Scheuer trabalhava como gerente de desenvolvimento de cardápio na Disney, mas foi demitido em junho deste ano por infrações disciplinares. Depois disso, utilizando o login e senha corporativos ainda ativos, ele obteve acesso ao Menu Creator - um programa de inventário e criação de cardápio para os restaurantes da Disney World.
No software, ele alterou os preços no menu, adicionou palavrões e depois trocou completamente a fonte para símbolos Wingdings . Isso inutilizou todas as versões do Menu na base de dados e forçou a Disney a desativar o Menu Creator da rede para começar a restaurar dados de backups e redefinir credenciais de login.
No entanto, Scheuer não parou por aí e logo invadiu os servidores FTP que a Disney usava para impressão. Lá ele carregou uma versão ligeiramente modificada do menu. Tinha preços ligeiramente diferentes e informações distorcidas sobre alérgenos. Por exemplo, Scheuer indicou que os pratos que contêm amendoim são seguros para quem sofre de alergias. Felizmente, as mudanças foram descobertas a tempo e ninguém foi afetado.
Além disso, o sabotador escreveu um script que tentava incessantemente adivinhar a senha das contas dos funcionários no portal interno da Disney . Como resultado, o sistema bloqueou automaticamente 14 contas de usuários inocentes.
O invasor foi identificado, como sempre, por IP: o ataque veio do mesmo endereço IP a partir do qual Scheuer havia trabalhado anteriormente. Ele agora pode pegar até 15 anos de prisão.
Galia, temos um cancelamento?
O que aconteceu: uma funcionária do governo americano roubou mais de US$ 400 mil de um programa governamental.
Como aconteceu: Brittany Joyce May, 35 anos, trabalhava como especialista administrativa no Departamento de Saúde e Serviços Humanos de Kentucky. Ela fez pagamentos a empresas elegíveis para financiamento de programas governamentais.
Os pagamentos ocorreram em duas etapas: primeiro, May inseriu no sistema dados pessoais e outros dos proprietários da empresa e, em seguida, esperou deles os documentos relevantes. Caso as empresas não apresentassem os documentos dentro do prazo ou surgissem dificuldades, de acordo com a regulamentação, o pagamento deveria ser cancelado.
Porém, nesses casos, May não cancelou a transação, mas transferiu os fundos para suas contas. Para evitar suspeitas, ela emitiu faturas aos proprietários de empresas que solicitaram financiamento, mas sem o seu consentimento. Mais tarde, quando May “sentiu o gostinho”, ela começou a falsificar pedidos de financiamento, em vez de esperar por um possível cancelamento. Nesse caso, ela também utilizou dados do sistema, mas alterou os endereços dos proprietários das empresas cujos dados obteve para que não recebessem notificações por escrito.
Assim, de julho de 2021 a maio de 2023, May realizou mais de 540 pagamentos, totalizando US$ 444.663. E ela ganhou também três anos de prisão.
“Um bom fornecedor não vai deixar você em apuros”
O que aconteceu: um invasor obteve acesso aos dados de 1,5 milhão de pacientes de uma grande rede francesa de clínicas médicas .
Como aconteceu: no dia 19 de novembro, em um fórum de cibercriminosos, um desconhecido colocou à venda o acesso a uma conta na MediBoard , de propriedade de uma rede hospitalar francesa. MediBoard é uma plataforma de gerenciamento de dados médicos que contém todas as informações sobre o trabalho das clínicas e o estado de saúde dos pacientes. Segundo o invasor, o acesso à conta permitiria visualizar os dados de 1,5 milhão de pacientes das cinco clínicas da rede, além de alterar o horário da consulta e os dados dos prontuários.
Para confirmar suas palavras, o desconhecido colocou à venda os dados de mais de 750 mil pacientes. Presumivelmente, entre os dados vazados: nome, data de nascimento, sexo do paciente, endereço, telefone, e-mail , informações do prontuário, etc.
A Medical Group, empresa desenvolvedora do software MediBoard, respondeu ao comunicado do invasor. Nele a empresa afirmou que o comprometimento ocorreu, mas os dados vazados não eram armazenados por ela, mas sim nos servidores da rede médica invadida. O fornecedor também observou que a causa do incidente foi o comprometimento de uma conta do lado do cliente, e não uma vulnerabilidade ou configuração incorreta da plataforma. Já a empresa afetada não fez quaisquer comentários.
Houston, temos um vazamento.
O que aconteceu: dados de funcionários do fabricante de satélites Maxar Space Systems foram vazados.
Como aconteceu: por volta do dia 4 de outubro, um desconhecido invadiu um dos sistemas da Maxar onde estavam armazenados arquivos com dados de funcionários.
A própria empresa notificou seus funcionários e disse que o departamento de SI da Maxar detectou a invasão em 11 de outubro e imediatamente tomou medidas para conter o incidente. No entanto, o invasor conseguiu obter acesso aos dados dos funcionários. Entre eles: nome, sexo, endereço, número do seguro nacional (SSN), cargo, contatos do gerente, filial da empresa, número pessoal do funcionário, etc.
Também foi relatado que não apenas dados de funcionários, mas também algumas informações técnicas foram vazadas. Isso pode ser especialmente crítico porque a Maxar possui negócios com a NASA e seus desenvolvimentos desempenham um papel importante na construção de veículos espaciais.
A empresa relatou o incidente a agências governamentais e contratou especialistas terceirizados para investigar o incidente. E ofereceu aos atuais e ex-funcionários a adesão gratuita ao serviço de proteção de dados pessoais e monitoramento financeiro.
Deveria ter continuado?
O que aconteceu: Um ex-gerente de uma subsidiária da Bridgestone roubou mais de US$ 14 milhões da empresa.
Como aconteceu: Saju Khatiwada conseguiu um emprego na Bridgestone Américas em 2016. Durante seus quatro anos de trabalho, mudou vários cargos até se tornar chefe de gestão de operações financeiras.
Em 2020, Khatiwada aproveitou os novos poderes para ganhar dinheiro. Ele criou uma empresa de fachada chamada Paymt-Tech , LLC, e a usou para transferir dinheiro da Bridgestone para si mesmo. Para isso, ele “confeccionava” as faturas para reembolso de despesas bancárias a fornecedores, enviava-as para a Bridgestone Americas e ele mesmo liberava os pagamentos. Isso continuou por quatro anos, até que o próprio Khatiwada deixou a empresa.
Depois disso, os contadores notaram que os pagamentos para os fornecedores pelos quais Khatiwada era responsável tornou-se significativamente menor. A discrepância foi percebida e a investigação corporativa tornou-se federal. O FBI descobriu que Khatiwada realizou 47 transações fraudulentas no valor total de US$ 15 milhões. Agora o fraudador pode pegar até 30 anos de prisão e uma multa duas vezes maior do que conseguiu roubar.
Poder da marca
O que aconteceu: um invasor roubou 400 GB de dados da gigante britânica de fintech Finastra .
Como aconteceu: Em 7 de novembro, o SOC Finastra detectou atividades suspeitas em uma plataforma interna de transferência de arquivos e começou a investigar o incidente. No dia seguinte, apareceu uma postagem em um fórum suspeito onde se anunciava a invasão da Finastra e a a venda de 400 GB de dados surripiados, incluindo dados de clientes.
A empresa notificou alguns clientes financeiros sobre o incidente no mesmo dia. Ela os informou que continuava trabalhando normalmente e havia envolvido especialistas terceirizados em segurança da informação na investigação. Juntos, eles descobriram que o invasor obteve acesso à plataforma SFTP da empresa, usada para transferir arquivos grandes para fora da rede corporativa. A invasão foi provisoriamente atribuída ao comprometimento do login e da senha de uma das contas. Os investigadores não encontraram nenhuma evidência de que a invasão tenha se estendido além da plataforma de transferência de arquivos.
Vale ressaltar que o invasor já havia tentado vender os dados anteriormente, mas sem sucesso. Em 31 de outubro, ele publicou uma mensagem no mesmo fórum, mas não conseguiu encontrar um comprador. A questão é que, inicialmente, o invasor não anunciou que se tratavam de dados da Finastra e seus clientes, o que significa que o "poder" da marca não funcionou.
A julgar pela linha do tempo , a primeira postagem apareceu no fórum uma semana antes do SOC da empresa descobrir o incidente. Isso pode indicar que o invasor voltou ao local crime para roubar ainda mais dados.
No momento, o anúncio de venda de dados da Finastra foi excluído do fórum suspeito, assim como a conta do invasor com todas as informações de contato.
Oferta de pães
O que aconteceu: um invasor roubou do conglomerado francês Schneider Electric 40 GB de dados - e exigiu resgate em baguetes.
Como aconteceu: um desconhecido invadiu o servidor Jira da Schneider Electric usando credenciais roubadas. Ele informou a mídia sobre isso e compartilhou detalhes.
Soube-se que, ao obter acesso ao servidor, o invasor utilizou a API REST MiniOrange para coletar 400 mil linhas de dados de usuários. Entre eles estão 75 mil endereços de e-mail exclusivos e nomes de funcionários e clientes da empresa. Projetos, tarefas e plugins de desenvolvedores também vazaram do servidor Jira da empresa.
O invasor disse ainda que exige US$ 125 mil em “baguetes” para não divulgar dados, mas o valor será reduzido caso a empresa publique um “comunicado oficial”. Este último se deve ao fato de o invasor querer divulgar recém-criado grupo crackers por ele criado. A sua primeira vítima foi o conglomerado francês.
A Schneider Electric disse que está investigando o incidente e que a invasão está associada ao acesso não autorizado a uma das plataformas internas de acompanhamento da execução dos projetos.
O novo nada mais é que o velho bem esquecido
O que aconteceu: um cibercriminoso postou mais de 2,8 milhões de registros com dados de funcionários da Amazon em um fórum suspeito.
Como aconteceu: Em 8 de novembro, um cibercriminoso postou mais de 2,8 milhões de registros com dados de funcionários da Amazon em um fórum suspeito. Os dados vazados contém nomes, informações de contato, local de trabalho, endereços de e-mail, etc. O cibercriminoso afirma que os dados são de maio do ano passado e fazem parte do grande vazamento do MOVEit .
Poucos dias após a publicação no fórum, a Amazon admitiu publicamente o fato do vazamento. A empresa disse que o invasor roubou dados de sistemas pertencentes a um provedor de serviços terceirizado. No entanto, um representante da Amazon afirma que dados confidenciais, como números de segurança social, cartões de identificação, etc., não foram roubados.
É importante ressaltar que o invasor também publicou dados de 25 outras empresas. De acordo com ele, as informações foram obtidas de “fontes de terceiros”, incluindo armazenamentos inseguros de objetos da AWS e do Azure, bem como de sites de grupos de ransomware.
Não faça o "bem" e você também não terá o mal
O que aconteceu: um americano invadiu diversas empresas para lhes oferecer seus serviços de segurança cibernética.
Como aconteceu: Nicholas Michael Kloster, de 31 anos, foi indiciado por “atos ilegais com computadores protegidos”. De acordo com documentos judiciais, Kloster invadiu duas empresas: uma rede de academias de ginástica e uma organização sem fins lucrativos, para posteriormente oferecer aos seus proprietários seus serviços de segurança da informação.
O primeiro incidente ocorreu em 26 de abril. Kloster entrou na academia e obteve acesso aos seus sistemas. Ele então enviou um e-mail a um dos proprietários da empresa, no qual relatou o que havia feito e descreveu como contornou a autorização dos sistemas de videovigilância e obteve acesso às configurações do roteador usando seus endereços IP visíveis. No final da carta, o invasor ofereceu seus serviços de segurança da informação e anexou um currículo.
Ao fazer isso, Kloster omitiu “delicadamente” que havia roubado o crachá de um dos funcionários, excluiu sua foto do banco de dados e reduziu sua taxa de associação para um dólar. O invasor também publicou uma captura de tela nas mídias sociais do sistema de vigilância sob seu controle, que mostrava a legenda “como fazer com que uma empresa use seus serviços de segurança”.
Não tendo recebido uma oferta de emprego, Kloster tentou uma segunda invasão. Em 20 de maio, ele entrou no território de uma organização sem fins lucrativos, encontrou um computador conectado à rede local e usou um disco de inicialização nele. Usando o disco, ele conseguiu alterar senhas de vários usuários sem autorização e instalar uma VPN. Documentos judiciais dizem que isso causou à organização sem fins lucrativos mais de US$ 5.000 em perdas. Com isso, se a culpa de Kloster for comprovada, ele poderá receber uma pena de até 15 anos.
IS tip of the month: Dica do mês sobre segurança cibernética: como mostra a prática, os funcionários que trabalham com as finanças da empresa podem representar uma ameaça. Por exemplo, o gestor de alto escalão, como no caso Bridgestone, tornou-se um fraudador, apesar do rápido crescimento na carreira e de uma boa posição. Qualquer empresa corre o risco de grandes perdas se não monitorar as ações dos usuários até mesmo daqueles considerados confiáveis e, ainda mais, com acesso privilegiado a dados da empresa. Um sistema DLP ajuda a combater as ameaças: ele detecta atividades ilegais e evita danos causados por fraudes. Teste a proteção: é grátis por 30 dias.