Grupo Lapsus anuncia ataque a Submarino e Americanas

Paulo Brito
19/02/2022

Atualizado às 15h53

O grupo Lapsus, que no início de dezembro de 2021 atacou o Ministério da Saúde, anunciou na madrugada de hoje um ataque às redes das cadeias de varejo Americanas e Submarino. A mensagem publicada em inglês no canal de Telegram dos atacantes dizia “Acho que os sites de compras da B2W Americanas e Submarino estão com problemas kkkkk”. Houve momentos em que o site do Submarino estava redirecionando usuários para um site pornográfico segundo um leitor do CISO Advisor. Os sites de comércio eletrônico das duas marcas ficaram inoperantes, tendo o das Americanas retornado à operação por volta de 13h segundo alguns usuários, e o do Submarino voultou à operação logo a seguir. Apesar disso ainda era possível notar um retardo incomum nas respostas dos dois sites. A Americanas declarou os sites 100% operacionais a partir das 15h16 de hoje.

Curiosamente, a maioria das vítimas do grupo Lapsus – incluindo as empresas atacadas hoje – hospeda seus servidores na Amazon, com exceção dos Correios, que fazem hospedagem na Algar Telecom. Sabe-se que as equipes de TI e segurança das Americanas estiveram resolvendo o problema para subir novamente os servidores. Na opinião do especialista Luiz Henrique Machado Mello o ataque foi feito por meio de sequestro de DNS.

O seqüestro de DNS (Domain Name Server), também chamado de redirecionamento de DNS, é um tipo de ataque de DNS no qual as consultas de DNS são resolvidas incorretamente para redirecionar os usuários para sites de interesse dos atacantes. Para realizar o ataque, os cibercriminosos instalam malware nos computadores dos usuários, assumem o controle de roteadores ou interceptam e hackeiam a comunicação DNS.

Veja isso
Localiza é anunciada pelo grupo Lapsus$ como vítima
Grupo Lapsus$ ataca TVs, jornal e portais de Portugal

Às 14h45 de hoje o CISO Advisor recebeu das Americanas o seguinte comunicado sobre o assunto: “A Americanas informa que suspendeu preventivamente parte dos servidores do ambiente de e-commerce na madrugada deste sábado (19/02), assim que identificou risco de acesso não autorizado. As equipes atuam para normalizar os ambientes de e-commerce, de acordo com seus protocolos de segurança. Não há evidência de comprometimento das bases de dados. As lojas físicas não tiveram suas atividades interrompidas e continuam abertas e operando normalmente.”

O grupo que anunciou o ataque – sem assumir explicitamente a responsabilidade – atacou não só o Ministério da Saúde, como os Correios, a Claro, a Localiza e a empresa de mídia Impresa (em Portugal), além de ter se manifestado no dia do ataque à Vodafone Portugal com a palavra “Vodafone”, sem novamente assumir a autoria do ataque. Segundo o CEO da empresa o ataque foi destruidor.

O CISO Advisor tem registros de outros dois incidentes relacionados à marca Submarino:

  1. em 29 de Janeiro de 2019, um hacker que se identificava no Twitter como AvcSuperman fez um post no Pastebin e no Privatebin informando que havia vulnerabilidades em servidores do Submarino.
  2. Em 4 de Outubro de 2021, o Submarino Viagens, agência de reservas online que pertence à CVC Corp, um dos maiores grupos de viagens da América Latina, comunicou ao mercado que havia sido vítima de um ataque cibernético, assim como a sua holding CVC Corp. A CVC, que é a outra agência online da CVC Corp., também comunicou em seus site ter sido vítima de ataque.

Compartilhar: