Desenvolvedora de antivírus Malwarebytes sofre invasão em e-mails internos
Por Ramon de Souza | 19 de Janeiro de 2021 às 22h40
A Malwarebytes, empresa estadunidense responsável pelo software antivírus homônimo, acaba de se tornar a mais nova empresa a ser vítima do mesmo grupo de agentes maliciosos que aplicou um ataque de cadeia de suprimentos à companhia de desenvolvimento de software para gerenciamento de redes SolarWinds. A intrusão teria sido detectada no dia 15 de dezembro de 2020, mas só foi revelada nesta terça-feira (19) com exclusividade ao site ZDNet.
- Ataque à SolarWinds: invasores acessaram e-mails da Justiça dos EUA
- Campanha hacker contra os EUA atingiu pelo menos 40 empresas
- Só fica pior! Ataque à SolarWinds expôs códigos-fonte da Microsoft
De acordo com a Malwarebytes, a invasão não teve relações com a campanha contra a SolarWinds, visto que a companhia não utiliza quaisquer soluções de TI de tal fornecedora global. Porém, de acordo com Marcin Kleczynski, CEO da empresa de segurança, os métodos utilizados pelos criminosos são muito parecidos com os demonstrados no episódio em questão, o que lhe faz acreditar que os responsáveis são os mesmos.
“Após uma extensa investigação, determinamos que o invasor obteve acesso apenas a um subconjunto limitado de e-mails internos da empresa. Nossos sistemas internos não mostraram nenhuma evidência de acesso não autorizado ou comprometimento em quaisquer ambientes locais e de produção. Nosso software permanece seguro para uso”, esclarece Kleczynski, tranquilizando os consumidores finais.
Ainda há muita especulação a respeito de quem realizou o ataque à SolarWinds, que culminou no comprometimento também de vários de seus clientes importantes, como Microsoft, FireEye e CrowdStrike. Alguns apelidam o grupo misterioso de “UNC2452”; ele costuma ser chamado de “Dark Halo” por outros investigadores. As investidas também são atribuídas ao APT29 ou Fancy Bear, hackers de elite financiados pelo governo da Rússia.
Cada vez mais complexo
No caso, visto que a Malwarebytes não utilizava soluções da SolarWinds, os criminosos exploraram brechas no serviço de identidade empresarial Azure Active Directory e na suíte de produtividade Office 365, ambos da Microsoft. Aliás, a companhia descobriu a intrusão ao ser notificada pela própria Microsoft, que, na época, fazia uma auditoria em suas infraestruturas procurando sinais de apps maliciosos criados pelos invasores.
Isso significa que, diferente do que originalmente defendeu, a companhia fundada por Bill Gates teve seus sistemas violados pelos atacantes, que aproveitaram o acesso privilegiado (obtido por meio da exploração de uma solução da SolarWinds) para distribuir versões corrompidas do Azure AD e da suíte 365. Se confirmada tal teoria, a dimensão do programa de espionagem russo pode ser muito maior do que todos imaginavam.
Fonte: Malwarebytes