Europa e América do Norte são os mais afetados pelo hack à 3CX

Europa, Estados Unidos e Austrália foram os mais afetados pelo hack da cadeia de suprimentos da fornecedora de VoIP corporativo, de acordo com dados de duas empresas de segurança cibernética
Da Redação
03/04/2023

Organizações na Europa, América do Norte e na Austrália representam a maior porcentagem de vítimas do hack à cadeia de suprimentos que atingiu a da fornecedora de software VoIP corporativo 3CX.

De acordo com dados coletados pela Fortinet, com base no número de dispositivos conectados à infraestrutura controlada por invasores, a maior porcentagem de vítimas está na Itália, seguida pela Alemanha, Áustria, Estados Unidos, África do Sul, Austrália, Suíça, Holanda, Canadá e o Reino Unido. Olhando para os dados regionais, a Europa está no topo da tabela com 60%, seguida pela América do Norte com 16%.

“Isso pode indicar que o operador da ameaça visa principalmente empresas nessas regiões. No entanto, isso é incerto. Isso pode ser indicativo da base geográfica de clientes do produto 3CX, incluindo a possibilidade de várias corporações multinacionais operando dentro dessas regiões”, observou a Fortinet.

Os pesquisadores de segurança da BlackBerry também detectaram muitas vítimas na Austrália, Estados Unidos e no Reino Unido, nos setores de saúde, farmacêutico, de TI e financeiro.

O software VoIP da 3CX é usado por mais de 600 mil empresas em todo o mundo, incluindo grandes marcas de consumo, companhias aéreas, montadoras e hotéis.

A empresa de segurança Huntress observou na semana passada que existem mais de 240 mil consoles de gerenciamento de sistemas telefônicos 3CX acessíveis pela internet, e a empresa registrou mais de 2.700 instâncias de binários comprometidos em sistemas de clientes.

Foi relatado anteriormente que os invasores provavelmente tiveram acesso aos sistemas 3CX por meses antes da violação. Com base na própria análise da BlackBerry, “a fase inicial da operação ocorreu entre o final de agosto e o início de setembro de 2022”.

Ainda não está claro como os invasores obtiveram acesso aos sistemas da 3CX e se exploraram alguma vulnerabilidade conhecida ou desconhecida para acesso inicial, mas o novo identificador CVE-2023-29059 foi atribuído ao comprometimento do 3CXDesktopApp.

As evidências coletadas até o momento sugerem que os invasores comprometeram os sistemas de desenvolvimento da 3CX e exploram vulnerabilidades para instalar malware — incluindo um componente malicioso projetado para coleta de dados — nos clientes da empresa. Alguns acreditam que o ataque estaria em uma fase inicial de coleta de informações quando foi detectado.

A CrowdStrike disse que um grupo ligado ao grupo norte-coreano Lazarus pode estar por trás do ataque, e a Sophos também encontrou links indicando para o grupo norte-coreano.

Veja isso
Ataque à cadeia de suprimentos atinge empresa de VoIP 3CX
Hitachi Energy é novo alvo do Clop, que usa bug no GoAnywhere

A 3CX, que convocou a Mandiant para ajudar na investigação, disse em sua última atualização: “A investigação inicial sugeriu que o incidente foi realizado por um hacker altamente experiente e conhecedor”. A empresa confirmou que seus aplicativos Windows e Mac foram afetados.

A empresa aconselhou os clientes a desinstalar os aplicativos afetados e usar o cliente da web PWA. O aplicativo do Windows está sendo reconstruído, mas o Google invalidou o certificado de segurança de software do fornecedor.

A 3CX foi criticada por muitos pela maneira como respondeu à violação, principalmente por ignorar relatórios de clientes sobre o aplicativo sendo detectado como malware por vários produtos de segurança cibernética.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)