Estudo de caso: O vazamento de credenciais do provedor de HRMS expõe os dados dos funcionários do banco e permite a aquisição de contas

Sumário executivo

Este relatório investiga um estudo de caso sobre um incidente de segurança revelado com CloudSEKs Plataforma digital de segurança da cadeia de suprimentos St. Vigil em um fornecedor de software HRMS para um banco proeminente e suas subsidiárias.

Em um alerta assustador para a segurança cibernética no setor financeiro, um erro aparentemente inofensivo cometido por um funcionário de suporte de um fornecedor de software HRMS (Sistema de Gerenciamento de Recursos Humanos) desencadeou uma violação de dados que expôs informações confidenciais de um banco proeminente e de suas subsidiárias.

• A história começa com um crack baixado. Um funcionário de suporte regional, em busca de um atalho, instalou um software não autorizado, sem saber do malware que se escondia nele. Esse malware “ladrão de informações”, operando como um batedor de carteiras digital, roubou silenciosamente as credenciais do funcionário, concedendo acesso não autorizado a um tesouro de dados confidenciais.
  ‍
• Com privilégios de administrador, os atacantes obtiveram uma visão panorâmica do banco e suas subsidiárias, abrangendo empresas de gestão de ativos, fundos mútuos, operações de créditos/empréstimos, negociação de ações e seguros de vida. Imagine um hacker examinando o funcionamento interno do banco, capaz de visualizar e manipular as mesmas informações que mantêm seu coração financeiro batendo forte.
  ‍
• Mas os dados roubados foram além de meros números. Detalhes pessoais e profissionais dos funcionários, incluindo nomes, e-mails e até números potencialmente de identificação, foram revelados. Os códigos dos funcionários, as chaves dos sistemas internos, foram expostos, dando aos invasores a possibilidade de aumentar seu acesso e causar ainda mais estragos.

‍

As consequências dessa violação são de longo alcance. Vamos nos aprofundar para entender como a violação aconteceu.

Processo passo a passo da violação de segurança

• Baixando software crackeado: A violação de segurança começou quando um funcionário de suporte do fornecedor de software HRMS (Sistema de Gerenciamento de Recursos Humanos) de um importante banco e suas subsidiárias baixou um software crackeado. Software crackeado se refere a versões ilegais de software pago, geralmente disponíveis gratuitamente na Internet. Nesse caso, o funcionário buscou acesso não autorizado ao software licenciado baixando uma versão crackeada.
  ‍
• Infecção com o malware Info Stealer: Sem o conhecimento do funcionário, o software crackeado que eles baixaram foi infectado com um malware que rouba informações. Esse tipo de malware foi projetado para se infiltrar no computador da vítima e coletar informações confidenciais, como nomes de usuário, endereços de e-mail, senhas e muito mais. O malware opera silenciosamente em segundo plano, dificultando a detecção pelo usuário.
  ‍
• Acesso não autorizado aos dados do HRMS: Com o malware agora residente no computador do funcionário, ele começou a coletar dados confidenciais do sistema infectado. O malware tinha a capacidade de registrar as teclas digitadas, capturar credenciais de login e acessar as informações armazenadas.
  ‍
• Vazamento de credenciais para a Dark Web: À medida que o malware continuava coletando dados, ele exfiltrou as informações roubadas, incluindo credenciais de login, para um servidor remoto controlado pelos atacantes. Esse servidor provavelmente estava localizado no dark web, uma parte escondida da Internet onde muitas vezes ocorrem atividades ilegais.
  ‍
• Usuários não autorizados obtêm acesso a: Com as credenciais de login roubadas, usuários não autorizados obtiveram acesso ao sistema HRMS do banco e de suas subsidiárias. Esse acesso permitiu que eles visualizassem e manipulassem dados confidenciais do HRMS relacionados a várias atividades financeiras, incluindo empresas de gestão de ativos (AMC), fundos mútuos, créditos/empréstimos, negociação de ações e seguros de vida.
  ‍
• Exploração da funcionalidade de aquisição de contas: Os atacantes exploraram a funcionalidade integrada de aquisição de contas no sistema HRMS. Essa funcionalidade permitiu que eles obtivessem acesso não autorizado às contas de usuários, sequestrassem sessões ativas, clonassem contas, elevassem seus privilégios e conduzissem ataques direcionados de engenharia social no sistema.
  ‍
• Alterações de senha sem autenticação: A funcionalidade de acesso não autorizado e aquisição de contas também permitiu que os atacantes alterassem as senhas sem a autenticação adequada. Isso levou à exposição de informações de identificação pessoal (PII) dos funcionários devido a alterações não autorizadas de senha, comprometendo ainda mais a segurança do sistema HRMS.
  ‍
• Comprometimento de mensagens internas: À medida que os atacantes obtiveram controle sobre o sistema HRMS, eles conseguiram comprometer as mensagens internas da organização. Isso incluiu comunicações confidenciais relacionadas a roubo de identidade, acesso não autorizado, adulteração de dados e até fraude na folha de pagamento.
  ‍
• Risco de dados e implicações legais: As consequências dessa violação foram significativas, resultando em riscos de dados, como roubo de identidade, acesso não autorizado, adulteração de dados e fraude na folha de pagamento. A exposição de informações confidenciais teve implicações legais e regulatórias para o banco e suas subsidiárias, representando uma séria ameaça às suas operações e à estabilidade financeira.
  
  

O que são malwares do Information Stealer?

Um ladrão de informações é um tipo de malware que os cibercriminosos usam para coletar detalhes confidenciais, por exemplo, informações relacionadas às credenciais da vítima (nomes de usuário, endereços de e-mail, senhas), informações financeiras, como detalhes do cartão de crédito, números de contas bancárias etc.

Esse ladrão de informações opera em um modelo MaaS (malware como serviço) e é distribuído em fóruns clandestinos de acordo com as necessidades dos usuários; O custo é definido como opção de assinatura de $275/mês ou $125/semana. No canal Telegram, o malware pode ser adquirido e pago em Bitcoin, Ethereum, XMR, LTC e USDT.

Recomendações

• Invalide todas as credenciais expostas e notifique o funcionário sobre a infecção por malware.
• Isole o computador comprometido e verifique a quarentena ou a remoção bem-sucedida do malware para garantir a segurança do dispositivo.
• Analise os registros de acesso para possíveis exfiltrações/manipulação de dados e backdoors.
• Realize uma análise de causa raiz (RCA) da infecção por malware para descobrir suas origens e implementar medidas preventivas contra infecções futuras.
• Informe os funcionários sobre a importância de evitar links não confiáveis, anexos de e-mail e arquivos executáveis não verificados.
• Aplique uma política de senha forte e altere as senhas periodicamente.
• Incentive os funcionários a não armazenarem senhas em seus navegadores.
• Mantenha a equipe de segurança bem informada sobre as táticas, técnicas e procedimentos (TTPs) atuais empregados por grupos de ransomware para atingir seus objetivos.

Referências

• https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability 
• https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• Recordbreaker: O ressurgimento do Raccoon - CloudSEK
• Análise técnica do RedLine Stealer - CloudSEK

‍

‍

‍