Ataque e ransomware para operações da Atento no Brasil. Companhia informou que sua equipe identificou a ameaça e que estava “trabalhando para contê-la, atuando para assegurar a segurança dos ambientes afetados antes de restabelecê-los on-line”.
A empresa de call center Atento é a mais recente vítima de ataques de cibercriminosos a corporações no Brasil, nas últimas duas semanas. No domingo (17), a multinacional espanhola comunicou ter sofrido um ciberataque a seus sistemas no país e que interrompeu os serviços, temporariamente, aos clientes locais. O ataque de ransomware que deixou a companhia operando parcialmente, mas empresa diz que não teve nenhum vazamento de dados até o momento.
“Implementamos, imediatamente, todos os protocolos de segurança cibernética a nosso alcance para conter e avaliar a ameaça. Nossa prioridade, desde o início, tem sido garantir a proteção e integridade dos dados de nossos clientes”, diz trecho de um comunicado divulgado pela marca.
A empresa informou que para prevenir o risco do vazamento de dados foi realizado um isolamento dos sistemas e uma interrupção das conexões com os sistemas dos clientes, o que significou a interrupção dos serviços.
Desde as 11 da manha desse domingo (17) a Atento End-to-end CX solutions está em resposta a um incidente de Ramsomware. O incidente afetou primariamente as operações de CX, Backoffice e Call Center alcançando a maior parte dos 14 países onde a empresa tem presença.
A empresa confirmou a clientes e parceiros que a praga LockBit 2.0 foi o agente de infecção. Não há outras informações confirmadas mas sabemos que o vetor de exploração desse agente normalmente é RDP exposto ao mundo ou conexões VPN brute-forced, além de haverem alguns IOC comum em diversos casos. Esse é o mesmo agente que afetou a Accenture há pouco tempo então as rotinas anteriormente aplicadas podem ser apropriadas novamente para double-check de indícios de espalhamento ou tentativa de espalhamento da praga para todos clientes Atento.
A Atento teve a iniciativa de se desconectar unilateralmente de seus clientes, mas fica a sugestão de doublecheck em seus AV, IDPS e outros elementos isolando as conexões desse fornecedor com sua organização caso você esteve conectado na última semana.
Os artefatos comuns deixados como rastro pelo Lockbit 2.0 são: delsvc.bat detectado como Trojan.BAT.KILLPROC.D, av.bat detectado como Trojan.BAT.KILLAV.WLDX, LogDelete.bat detectado como PUA.BAT.DHARMA.A e Defoff.bat detectado como Trojan.BAT.KILLAV.WLDX. Além disso LockBit 2.0 também usa ferramentas legitimas como vetor de abuso, incluindo PC Hunter e Process Hacker para suspender serviços e processos de controle e segurança nas estações vítimas.
Dessa forma os eventos de suspensão de processos, especialmente banco de dados, Quickbooks, MS-Exchange bem como desativação de anti-vírus, suspensão de serviço de logs e limpeza do Windows Event Logs e desligamento de certos recursos do Windows Defender devem ser os indícios a se buscar nos logs, SOC e SIEM, e atividades de rede a serem buscadas devem envolver sessões RDP, conexões VPN recentes a partir de Geolocation incomum, e claro como de costume controle e auditoria de movimento lateral via portas SMB/CIFS/NB/DS.
Fonte: G1 & Tecmundo & Yahoo Finanças
Veja também:
- FontOnLake novo malware atacando sistemas Linux
- Azure se defende do o maior ataque DDoS de todos os tempos
- Seguro Cibernético ou garantia de recuperação após ataques de ransomware
- Apple o mito do sistema seguro e como a segurança e afetada
- VirusTotal lança relatório de ransomware baseado na análise de 80 milhões de amostras
- 71 razões para atualizar o Windows o mais rápido possível.
- Apple confirma exploração de zero day do iOS 15
- O que é um CISO como serviço (CISOaaS)?
- Advanced Persistent Threat (APT – Ameaça Persistente Avançada)
- Fortinet vence o prêmio “Programa de Certificação Profissional do Ano”
- BGP (Border Gateway Protocol)
- ANPD lança Guia de Proteção de Dados para DPOs de pequenas empresas.
Deixe sua opinião!