A Totvs em comunicado ao mercado, confirmou nesta segunda-feira, 30, estar sendo vítima de um ataque cibernético. Um grupo denominado BlackByte teria assumido a autoria do ataque. Em fóruns, o grupo dava amostras de dados supostamente roubados da companhia, mas a extensão do ataque não pode ser verificada.
O comunicado da Totvs diz que:
A TOTVS prezando pela transparência e responsabilidade, comunica que está respondendo a um ataque cibernético. A Companhia, por meio de uma ação rápida e diligente, seguindo seus protocolos de segurança previamente estabelecidos, garantiu a continuidade normal de seus serviços e operações.
A TOTVS valoriza profundamente a segurança das informações de todos os seus stakeholders. A proteção dos dados é uma prioridade e um compromisso da Companhia, que segue monitorando todos os seus sistemas para prevenir e responder a qualquer tipo de nova ameaça.
BlackByte – modus operandi
O BlackByte é conhecido por realizar ataques devastadores contra grandes corporações em diversos setores ao redor do mundo, sempre visando a extorsão de valores significativos em troca da não divulgação de informações sigilosas. Diferente de muitos grupos de ransomware, o BlackByte opera de forma rápida e agressiva, frequentemente publicando dados das vítimas na dark web em questão de horas após a invasão, deixando pouca margem para reação
O Cisco Talos observou o grupo de ransomware BlackByte explorando a falha de segurança recentemente corrigida CVE-2024-37085 em hipervisores VMware ESXi em ataques recentes. A falha CVE-2024-37085 (pontuação CVSS de 6,8) é uma vulnerabilidade de bypass de autenticação no VMware ESXi.
No final de julho, a Microsoft alertou que diversas gangues de ransomware estavam explorando a falha. "Pesquisadores da Microsoft descobriram uma vulnerabilidade em hipervisores ESXi que está sendo explorada por vários operadores de ransomware para obter permissões administrativas completas em hipervisores ESXi associados a domínios", alertou a Microsoft.
Investigações recentes do Talos IR revelaram que o grupo de ransomware BlackByte está usando o acesso remoto existente de uma vítima em vez de ferramentas como AnyDesk..
O grupo BlackByte opera um ransomware-as-a-service (RaaS) e especialistas o vincularam à notória gangue de ransomware Conti . O grupo está ativo desde pelo menos 2021, o BlackByte é conhecido por usar drivers vulneráveis para contornar a segurança, implantando ransomware autopropagante com habilidades semelhantes a worms e alavancando binários de sistema legítimos e ferramentas comerciais em seus ataques.
Durante uma investigação recente, o CiscoTalos observou que o agente da ameaça obteve acesso inicial à organização da vítima usando credenciais válidas para fazer login em sua VPN. Não ficou claro se as credenciais foram obtidas por meio de ataques de força bruta ou se eram previamente conhecidas pelo invasor. No entanto, o Talos IR acredita que a autenticação de força bruta por meio de varredura na Internet provavelmente foi o método de acesso inicial.
Mais ataques
O grupo também é considerado responsável por ataque como das prefeituras de Newburgh, Nova York, Augusta, bem como a organizações como o San Francisco 49ers e a Yamaha. Em dezembro de 2022 o grupo Blackbyte teria pedido US$ 500 mil para apagar dados interceptados da CPTM -Cia Paulista de Trens Metropolitanos, de São Paulo.
