Na última semana, a TOTVS, conhecida como a maior empresa de tecnologia do Brasil, anunciou estar lidando com um incidente cibernético. A notícia veio à tona quando o nome da empresa apareceu no site de vazamentos do grupo BlackByte, que opera um dos ransomware mais notórios da atualidade. O grupo cibercriminoso publicou oito telas mostrando diretórios da empresa, alegando ter em mãos documentos importantes, incluindo contratos e arquivos financeiros.
Em uma página destinada aos arquivos supostamente roubados, o grupo publicou uma mensagem oferecendo os dados à venda ou sugerindo a remoção mediante negociação. “Documentos da empresa, deleção/compra – se você está interessado em comprar os dados ou pedir sua remoção, por favor conecte-nos (sic) pelo nosso e-Mail”, dizia o texto. Entretanto, por volta das 17h15, tanto o nome da TOTVS quanto as telas desapareceram da página de vazamentos, levantando especulações sobre um possível pagamento de resgate.
Em nota, a empresa declarou: “A TOTVS prezando pela transparência e responsabilidade, comunica que está respondendo a um ataque cibernético. A Companhia, por meio de uma ação rápida e diligente, seguindo seus protocolos de segurança previamente estabelecidos, garantiu a continuidade normal de seus serviços e operações. A TOTVS valoriza profundamente a segurança das informações de todos os seus stakeholders. A proteção dos dados é uma prioridade e um compromisso da Companhia, que segue monitorando todos os seus sistemas para prevenir e responder a qualquer tipo de nova ameaça”.
Ainda não está claro o que levou à remoção do nome da TOTVS da lista de vítimas. Em muitos casos, grupos de ransomware fazem isso após o pagamento do resgate, mas, sem declarações oficiais, permanece a dúvida sobre os desdobramentos desta situação.
Quem é o BlackByte?
Trata-se de uma operação de ransomware como serviço (RaaS) que tem ganhado notoriedade por atacar grandes organizações e governos locais. Entre suas vítimas mais recentes estão a prefeitura de Newburgh, em Nova York, e empresas como a Modern Automotive Group. O grupo também esteve por trás do ataque ao time de futebol americano San Francisco 49ers e à Yamaha.
De acordo com um relatório da Cisco Talos, o grupo normalmente expõe apenas 30% das suas vítimas, o que sugere que muitas negociações acontecem nos bastidores. O BlackByte tem suas raízes no extinto grupo Conti, que foi desmantelado em 2021, mas deixou um legado de ciberataques sofisticados.
Um detalhe relevante sobre o BlackByte é seu método de ataque. Segundo investigações da Talos, o grupo costuma obter acesso inicial utilizando credenciais válidas de VPN, muitas vezes adquiridas por força bruta ou varredura de interfaces abertas na internet. Esse padrão tem se repetido em diversos casos, dificultando a detecção precoce dos ataques.
Fortalecendo a Segurança
Uma ótima sugestão para fortalecer a segurança e evitar incidentes como o enfrentado pela TOTVS é a implementação do ManageEngine Log360. Essa ferramenta oferece uma solução completa para gerenciamento e análise de logs, detectando atividades suspeitas em tempo real. O Log360 permite monitorar eventos críticos e gerar alertas sobre possíveis violações de segurança, além de garantir conformidade com regulamentos como LGPD e GDPR.
Feito por: Lê Ferreira