TOTVS sofre ataque de ransomware Blackbyte

TOTVS sofre ataque de ransomware Blackbyte. A Totvs, empresa brasileira de software, foi vítima de um ataque de ransomware, confirmado pela própria empresa.

A Totvs em comunicado ao mercado, confirmou nesta segunda-feira, 30, estar sendo vítima de um ataque cibernético. Um grupo denominado BlackByte teria assumido a autoria do ataque. Em fóruns, o grupo dava amostras de dados supostamente roubados da companhia, mas a extensão do ataque não pode ser verificada.

O grupo de ransomware conhecido como BlackByte reclamou a autoria do ataque. Em fóruns, o grupo dava amostras de dados supostamente roubados da companhia, mas a extensão do ataque não pode ser verificada.

O nome da empresa apareceu ontem no site de vazamentos do grupo que opera o ransomware BlackByte como sendo uma das vítimas. Na página relacionada aos arquivos vazados, os cibercriminosos publicaram oito telas exibindo diretórios com mais de cem entradas de arquivos e diretórios. O texto da página diz “Documentos da empresa, deleção/compra – se você está interessado em comprar os dados ou pedir sua remoção, por favor conecte-nos (sic) pelo nosso e-Mail”. Por volta das 17h15 o nome da empresa havia sido removido da lista de vítimas e as telas também haviam desaparecido.

Ransomware BlackByte foi utilizado em ataque virtual à empresa brasileira Totus

As telas indicadas como sendo da TOTVS continham imagens de diretórios com entradas para subdiretórios e para arquivos tais como mensagens, planilhas, arquivos de texto e arquivos em PDF, com nomes sugerindo serem contratos, documentos financeiros e de outras naturezas, relacionados a nomes que pareciam ser de clientes. O grupo BlackByte anunciou o nome da TOTVS em seu site de vazamentos após ter anunciado também como vítimas a empresa Modern Automotive Group e a prefeitura da cidade de Newburgh (Nova York), cujos dados continuam expostos para download até o momento da publicação deste post.

BlackByte – modus operandi

O grupo BlackByte opera um ransomware-as-a-service (RaaS) e especialistas o vincularam à notória gangue de ransomware Conti . O grupo está ativo desde pelo menos 2021, o BlackByte é conhecido por usar drivers vulneráveis para contornar a segurança, implantando ransomware autopropagante com habilidades semelhantes a worms e alavancando binários de sistema legítimos e ferramentas comerciais em seus ataques. 

O BlackByte é conhecido por realizar ataques devastadores contra grandes corporações em diversos setores ao redor do mundo, sempre visando a extorsão de valores significativos em troca da não divulgação de informações sigilosas. Diferente de muitos grupos de ransomware, o BlackByte opera de forma rápida e agressiva, frequentemente publicando dados das vítimas na dark web em questão de horas após a invasão, deixando pouca margem para reação. Um relatório da Cisco Talos publicado em Agosto de 2024 diz que o grupo está publicando no máximo 30% das suas vítimas.

O BlackByte é considerado um desdobramento do extinto grupo Conti, que havia surgido no final de 2021. Numa das investigações da Talos sobre o BlackByte, ficou claro que o acesso inicial foi obtido com credenciais válidas para acessar a VPN da vítima: “Limites na telemetria e perda de evidências após o evento de criptografia do ransomware impediram o Talos IR de determinar se as credenciais foram obtidas por meio de força bruta da interface VPN ou se já eram conhecidas pelo adversário antes do ataque. No entanto, o Talos IR tem confiança moderada de que a autenticação de força bruta facilitada por meio de varredura na Internet foi o vetor de acesso inicial”.

O Cisco Talos observou o grupo de ransomware BlackByte explorando a falha de segurança recentemente corrigida CVE-2024-37085 em hipervisores VMware ESXi em ataques recentes. A falha CVE-2024-37085 (pontuação CVSS de 6,8) é uma vulnerabilidade de bypass de autenticação no VMware ESXi.

No final de julho, a Microsoft alertou que diversas gangues de ransomware estavam explorando a falha. “Pesquisadores da Microsoft descobriram uma vulnerabilidade em hipervisores ESXi que está sendo explorada por vários operadores de ransomware para obter permissões administrativas completas em hipervisores ESXi associados a domínios”, alertou  a Microsoft.

Investigações recentes do Talos IR revelaram que o grupo de ransomware BlackByte está usando o acesso remoto existente de uma vítima em vez de ferramentas como AnyDesk..

Durante uma investigação recente, o CiscoTalos observou que o agente da ameaça obteve acesso inicial à organização da vítima usando credenciais válidas para fazer login em sua VPN. Não ficou claro se as credenciais foram obtidas por meio de ataques de força bruta ou se eram previamente conhecidas pelo invasor. No entanto, o Talos IR acredita que a autenticação de força bruta por meio de varredura na Internet provavelmente foi o método de acesso inicial.

Mais ataques

O grupo também é considerado responsável por ataque como das prefeituras de Newburgh, Nova York, Augusta, bem como a organizações como o San Francisco 49ers e a Yamaha. Em dezembro de 2022 o grupo Blackbyte  teria pedido US$ 500 mil para apagar dados interceptados da CPTM -Cia Paulista de Trens Metropolitanos, de São Paulo.

Fonte: TecMundo & TIInside & CISOAdvisor & Breachsense

 

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. Google remove software antivírus da Kaspersky da Play Store
  2. Microssegmentação: a peça que falta no seu quebra-cabeça Zero Trust
  3. Google Cloud anuncia novas opções de computação confidencial
  4. Apple iOS 18.0.1 corrige bugs de exposição de senha e snippet de áudio
  5. Como a NIS2 inspira futuros desenvolvimentos regulatórios
  6. Seguro Cibernético cresce 512%
  7. Golpes via mensagens falsas crescem 267% no Brasil

Deixe sua opinião!