SecurityScorecard diz que JBS Brasil teve vazamento

Investigação da SecurityScorecard indica que invasão começou em março e que dados foram colocados para download no site de compartilhamento “Mega”
Da Redação
09/06/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um relatório da empresa de segurança SecurityScorecard publicado ontem indica que o incidente cibernético causado pelo ransomware REvil atingiu também a JBS Brasil, além da JBS Austrália e JBS USA. Segundo o relatório, foram descobertas credenciais vazadas, pertencentes a funcionários da JBS Austrália, no início de março de 2021. Essas credenciais apareceram pouco antes do início da exfiltração de dados. O fato de as credenciais dos funcionários da JBS estarem na dark web confirma que uma violação ocorreu em algum momento em fevereiro de 2021. A extensão das credenciais vazadas descobertas se estende a meia dúzia de funcionários da JBS Austrália como parte de várias listas de vazamentos.

Veja isso
Incidente nas operações da JBS nos EUA e Austrália
REvil mirou JBS Brasil e tem Braskem na lista de vítimas

Segundo o documento, assinado pelo analista Ryan Sherstobitoff, as principais descobertas da investigação foram as seguintes:

  • A campanha da JBS começou com uma fase de reconhecimento em fevereiro de 2021, seguida pela exfiltração de dados de 1º de março de 2021 a 29 de maio de 2021; finalmente, os atores da ameaça criptografaram o ambiente em 1º de junho. Foi a primeira vez que se identificou exfiltração de dados neste ataque.
  • Há indícios de que o ataque à JBS foi direcionado e conduzido pelo grupo de ransomware REvil. Tanto a JBS Brasil quanto a JBS Austrália foram visadas como parte dessas operações.
  • O ataque começou na JBS Austrália como um ponto de exfiltração de dados. Identificamos um domínio da JBS Austrália associado às operações da JBS na Austrália.
  • Observamos a exfiltração de dados da JBS Austrália em mais de 45 GB de dados para o site de compartilhamento de arquivos conhecido como Mega.
  • A partir daí, descobrimos evidências de mais exfiltração de dados da JBS Brasil para o mesmo serviço de transferência de arquivos Mega usado na Austrália. Isso confirma ainda mais uma conversa clandestina indicando que as operações no Brasil também foram visadas como parte dessa intrusão. A transferência de dados observada ocorreu entre 19 de abril e 25 de maio.
  • Observamos exfiltração adicional, com uma potencial perda de dados de 5 TB durante o curso de três meses. A exfiltração de dados ocorreu várias vezes durante este período para o Mega e outros IPs maliciosos conhecidos em Hong Kong que não estão associados à JBS.
  • Embora o vetor de intrusão exato seja desconhecido, nossa análise procurou por caminhos potenciais para a intrusão. Normalmente, antes de uma intrusão, há uma fase de reconhecimento para avaliar os possíveis pontos de entrada. Observamos operações de reconhecimento de dados ocorrendo antes da exfiltração real de dados.
  • 1 em cada 5 empresas de processamento, produção e distribuição de alimentos do mundo têm uma vulnerabilidade conhecida (ou seja, uma vulnerabilidade e exposição comum ou “CVE”) em seus ativos de Internet expostos. Isso coloca em risco a cadeia de abastecimento alimentar global.

Com informações de agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest