A Accenture emitiu um memorando interno confirmando que foi vítima de um ataque de ransomware LockBit. Esta ameaça tem explorado activamente vulnerabilidades Fortinet FortiOS e FortiProxy.
O memorando minimiza o impacto do ataque e cita: “Embora os perpetradores tenham conseguido adquirir certos documentos que fazem referência a um pequeno número de clientes e certos materiais de trabalho que preparamos para os clientes, nenhuma das informações é de natureza altamente sensível”, diz. O Threatpost pediu à Accenture para comentar sobre o relatório da CyberScoop.
O gangue LockBit ransomware-as-a-service (RaaS) publicou o nome e o logotipo do que agora foi confirmado como uma de suas últimas vítimas: Accenture, uma empresa de consultoria de negócios global com um acompanhamento interno em alguns das maiores e mais poderosas empresas do mundo.
Avaliada em US $ 44,3 bilhões, a Accenture é uma das maiores empresas de consultoria de tecnologia do mundo, emprega cerca de 569.000 pessoas em 50 países e entre os seus clientes estão incluídos os gigantes de comércio eletrônico Alibaba, Cisco e Google.
Em uma postagem em seu website Dark, a LockBit afirmou que os estima-se que os arquivos criptografados da Accenture são mais de 6TB e que serão publicados pelo grupo na dark web, no final da contagem regressiva do relógio para o pagamento do resgate, que seria alegadamente de US$ 50 Milhões.
A importância dos backups
Sim, fomos atingidos, mas agora estamos bem, confirmou a Accenture: “Por meio de nossos controles e protocolos de segurança, identificamos atividade irregular em um dos nossos ambientes. Imediatamente contivemos o assunto e isolamos os servidores afetados ”, disse em um comunicado. “Restauramos totalmente nossos sistemas afetados do backup e não houve impacto nas operações da Accenture ou nos sistemas de nossos clientes.”
Sem ter uma solução de backup de dados eficiente não teria sido possível restaurar os sistemas com tanta brevidade.
Aumento dos ataques de ransomware
Num alerta de segurança emitido na semana passada, o Australian Cyber Security Center (ACSC) avisou que os ataques de ransomware LockBit 2.0 contra organizações australianas começaram a aumentar no mês passado e que foram acompanhados por ameaças de publicação de dados no que é conhecido como ataques de dupla extorsão .
“Essa atividade ocorreu em vários setores da indústria”, de acordo com o alerta. “As vítimas receberam pedidos de pagamento de resgate. Além da criptografia de dados, as vítimas receberam ameaças de que os dados roubados durante os incidentes fossem publicados. ”
A Australian Cyber Security Centre (ACSC) observou (PDF) que os recentes atores da ameaça LockBit têm vindo a explorar ativamente as vulnerabilidades existentes nos produtos Fortinet FortiOS e FortiProxy, identificados como CVE-2018-13379, a fim de obter acesso inicial a redes de vítimas específicas. Essa vulnerabilidade, uma falha de passagem de caminho na VPN SSL, foi explorada em vários ataques ao longo dos anos:
Em abril de 2021, o FBI e a Agência para Cibersegurança e Segurança de Infraestrutura (CISA) alertaram que os atores do Estado-nação de ameaça persistente avançada (APT) estavam a explorar ativamente para ganhar posições dentro das redes antes de moverem-se lateralmente e realizarem reconhecimentos
Uma vulnerabilidade conhecida está a ser explorada?
Ron Bradley, vice-presidente da empresa terceirizada de gerenciamento de risco Shared Assessments, mencionou que o incidente com a Accenture é “um excelente exemplo da diferença entre resiliência e continuidade de negócios. A resiliência dos negócios é como estar em uma luta de boxe, você leva uma pancada no corpo, mas pode continuar a lutar. A continuidade dos negócios entra em jogo quando as operações são interrompidas ou severamente prejudicadas e você precisa fazer grandes esforços para se recuperar.
“Este exemplo específico com a Accenture é interessante pelo fato de ser uma vulnerabilidade conhecida / publicada”, continuou Bradley. Ele destaca a importância de garantir que os sistemas sejam corrigidos de maneira adequada em tempo hábil. A capacidade da Accenture de gerenciar as repercussões de dados potencialmente roubados será uma lição importante para muitas organizações daqui para frente. ”
Hitesh Sheth, presidente e CEO da empresa de segurança cibernética Vectra, disse que todas as empresas deveriam esperar ataques como este, mas particularmente uma empresa de consultoria global com links para tantas empresas. É imperativo estar preparado para impedir ataques de ransomware.
“Os primeiros relatórios sugerem que a Accenture tinha protocolos de backup de dados e agiu rapidamente para isolar os servidores afetados”, disse ele ao Threatpost na quarta-feira. “É muito cedo para um observador externo avaliar os danos. No entanto, este é mais um lembrete para as empresas examinarem os padrões de segurança de seus fornecedores, parceiros e provedores. Todas as empresas devem esperar ataques como este – talvez especialmente uma empresa de consultoria global com links para tantas outras empresas. É como você antecipa, planeia e se recupera de ataques que conta. ”