[ Tráfego 4/Out a 2/Nov: 341.857 page views - 134.359 usuários ] - [ Newsletter 5.481 assinantes Open rate 28%]

Ransomware BlackByte tira TOTVS da lista de vítimas

Paulo Brito
30/09/2024

[Esta notícia está em atualização]

A TOTVS, que segundo seu marketing é a maior empresa de tecnologia do Brasil, comunicou ontem a ocorrência de um incidente cibernético que está sendo respondido pelos seus especialistas. O nome da empresa apareceu ontem no site de vazamentos do grupo que opera o ransomware BlackByte como sendo uma das vítimas. Na página relacionada aos arquivos vazados, os cibercriminosos publicaram oito telas exibindo diretórios com mais de cem entradas de arquivos e diretórios. O texto da página diz “Documentos da empresa, deleção/compra – se você está interessado em comprar os dados ou pedir sua remoção, por favor conecte-nos (sic) pelo nosso e-Mail”. Por volta das 17h15 o nome da empresa havia sido removido da lista de vítimas e as telas também haviam desaparecido.

O pagamento de resgates é um dos casos em que grupos de ransomware removem os nomes de empresas das suas listas de vítimas. O CISO Advisor perguntou em e-mail ao grupo BlackByte em que casos os nomes de vítimas são removidos, mas ainda não recebeu resposta.

Leia também
Empresa pagou resgate de R$ 2,5 milhões para salvar dados
Resgates de ransomware batem recorde em 2024

As telas indicadas como sendo da TOTVS continham imagens de diretórios com entradas para subdiretórios e para arquivos tais como mensagens, planilhas, arquivos de texto e arquivos em PDF, com nomes sugerindo serem contratos, documentos financeiros e de outras naturezas, relacionados a nomes que pareciam ser de clientes. O grupo BlackByte anunciou o nome da TOTVS em seu site de vazamentos após ter anunciado também como vítimas a empresa Modern Automotive Group e a prefeitura da cidade de Newburgh (Nova York), cujos dados continuam expostos para download.

O CISO Advisor entrou em contato com a TOTVS solicitando informações sobre o assunto e recebeu a seguinte nota: “A TOTVS prezando pela transparência e responsabilidade, comunica que está respondendo a um ataque cibernético. A Companhia, por meio de uma ação rápida e diligente, seguindo seus protocolos de segurança previamente estabelecidos, garantiu a continuidade normal de seus serviços e operações. A TOTVS valoriza profundamente a segurança das informações de todos os seus stakeholders. A proteção dos dados é uma prioridade e um compromisso da Companhia, que segue monitorando todos os seus sistemas para prevenir e responder a qualquer tipo de nova ameaça”.

O que é grupo BlackByte de ransomware

O BlackByte é ao mesmo tempo um grupo e uma operação de RaaS (ransomware como serviço). Ele é o responsável por vários ataques a grandes organizações e prefeituras como Newburgh, Nova York, Augusta, bem como a organizações como o San Francisco 49ers e a Yamaha. Um relatório da Cisco Talos publicado em Agosto de 2024 diz que o grupo está publicando no máximo 30% das suas vítimas. Ele é considerado um desdobramento do extinto grupo Conti, que havia surgido no final de 2021. Numa das investigações da Talos sobre o BlackByte, ficou claro que o acesso inicial foi obtido com credenciais válidas para acessar a VPN da vítima: “Limites na telemetria e perda de evidências após o evento de criptografia do ransomware impediram o Talos IR de determinar se as credenciais foram obtidas por meio de força bruta da interface VPN ou se já eram conhecidas pelo adversário antes do ataque. No entanto, o Talos IR tem confiança moderada de que a autenticação de força bruta facilitada por meio de varredura na Internet foi o vetor de acesso inicial”.

Compartilhar: