Ataque e ransomware para operações da Atento no Brasil

Ataque e ransomware para operações da Atento no Brasil. Companhia informou que sua equipe identificou a ameaça e que estava “trabalhando para contê-la, atuando para assegurar a segurança dos ambientes afetados antes de restabelecê-los on-line”.

A empresa de call center Atento é a mais recente vítima de ataques de cibercriminosos a corporações no Brasil, nas últimas duas semanas. No domingo (17), a multinacional espanhola comunicou ter sofrido um ciberataque a seus sistemas no país e que interrompeu os serviços, temporariamente, aos clientes locais. O ataque de ransomware que deixou a companhia operando parcialmente, mas empresa diz que não teve nenhum vazamento de dados até o momento.

Implementamos, imediatamente, todos os protocolos de segurança cibernética a nosso alcance para conter e avaliar a ameaça. Nossa prioridade, desde o início, tem sido garantir a proteção e integridade dos dados de nossos clientes”, diz trecho de um comunicado divulgado pela marca.

A empresa informou que para prevenir o risco do vazamento de dados foi realizado um isolamento dos sistemas e uma interrupção das conexões com os sistemas dos clientes, o que significou a interrupção dos serviços.

Desde as 11 da manha desse domingo (17) a Atento End-to-end CX solutions está em resposta a um incidente de Ramsomware. O incidente afetou primariamente as operações de CX, Backoffice e Call Center alcançando a maior parte dos 14 países onde a empresa tem presença.

A empresa confirmou a clientes e parceiros que a praga LockBit 2.0 foi o agente de infecção. Não há outras informações confirmadas mas sabemos que o vetor de exploração desse agente normalmente é RDP exposto ao mundo ou conexões VPN brute-forced, além de haverem alguns IOC comum em diversos casos. Esse é o mesmo agente que afetou a Accenture há pouco tempo então as rotinas anteriormente aplicadas podem ser apropriadas novamente para double-check de indícios de espalhamento ou tentativa de espalhamento da praga para todos clientes Atento.

A Atento teve a iniciativa de se desconectar unilateralmente de seus clientes, mas fica a sugestão de doublecheck em seus AV, IDPS e outros elementos isolando as conexões desse fornecedor com sua organização caso você esteve conectado na última semana.

Os artefatos comuns deixados como rastro pelo Lockbit 2.0 são: delsvc.bat detectado como Trojan.BAT.KILLPROC.D, av.bat detectado como Trojan.BAT.KILLAV.WLDX, LogDelete.bat detectado como PUA.BAT.DHARMA.A e Defoff.bat detectado como Trojan.BAT.KILLAV.WLDX. Além disso LockBit 2.0 também usa ferramentas legitimas como vetor de abuso, incluindo PC Hunter e Process Hacker para suspender serviços e processos de controle e segurança nas estações vítimas.

Dessa forma os eventos de suspensão de processos, especialmente banco de dados, Quickbooks, MS-Exchange bem como desativação de anti-vírus, suspensão de serviço de logs e limpeza do Windows Event Logs e desligamento de certos recursos do Windows Defender devem ser os indícios a se buscar nos logs, SOC e SIEM, e atividades de rede a serem buscadas devem envolver sessões RDP, conexões VPN recentes a partir de Geolocation incomum, e claro como de costume controle e auditoria de movimento lateral via portas SMB/CIFS/NB/DS.

Fonte: G1 & Tecmundo & Yahoo Finanças

Veja também:

About mindsecblog 1447 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!