A cada semana surgem novas vítimas do ataque à cadeia de suprimentos da SolarWinds, o incidente que foi batizado pela Microsoft de Solorigate. As mais recentes são quatro fornecedores de soluções e serviços de segurança da informação: Mimecast, Palo Alto Networks, Qualys e Fidelis estão entre as empresas que instalaram versões infectadas do aplicativo SolarWinds Orion.
A Mimecast relatou anteriormente uma grande violação, na qual hackers se infiltraram em sua rede e usaram certificados digitais de um de seus produtos de segurança para acessar contas do Microsoft 365 em alguns de seus clientes. Porta-vozes da Mimecast agora relataram em um blog que o incidente foi causado por uam instalação contaminada do aplicativo Orion instalado na rede da empresa.
Veja isso
Malware Sunspot foi usado para instalar backdoor no SolarWinds
Script checa se Microsoft 365 foi atacado no hack da SolarWinds
A Palo Alto Networks é outra grande empresa que notificou o incidente relacionado ao SolarWinds. Seus porta-vozes informaram que em setembro e outubro de 2020 foram registrados dois incidentes relacionados ao software SolarWinds. Na época, os especialistas investigaram ambos como incidentes separados e não detectaram um ataque mais amplo à cadeia de suprimentos. Os especialistas em segurança concluíram que “a tentativa de ataque foi malsucedida e nenhum dado foi comprometido”.
Erik Hjelmvik, fundador da empresa de segurança de rede Netresec, publicou uma lista de 23 domínios que os hackers do SolarWinds usaram para implantar payloads de camada 2 em redes infectadas. Dois desses domínios eram chamados de “corp.qualys.com” e indicavam que a empresa Qualys pode ter sido vítima de um ataque cibernético. A empresa observou que o hack não era tão difundido quanto parece, e seus engenheiros instalaram uma versão do Orion em ambiente de laboratório para análise.
O quarto alerta veio do diretor de segurança da informação da Fidelis Cybersecurity, de Chris Kubic. A empresa também instalou uma versão contaminada do aplicativo da SolarWinds em maio de 2020, como parte de uma “avaliação de software”, disse Kubic. Apesar das tentativas do invasor de ampliar seu acesso à rede interna da Fidelis, o sistema de teste foi “isolado o suficiente e raramente ligado para que o invasor pudesse avançar para o estágio seguinte do ataque”.
Com agências internacionais