A Ascom, provedora de soluções globais com sede na Suíça, confirmou um ataque cibernético à sua infraestrutura de TI, enquanto um grupo de hackers conhecido como Hellcat mira servidores Jira ao redor do mundo usando credenciais comprometidas.
A companhia anunciou em um comunicado à imprensa que hackers invadiram seu sistema de tickets técnicos no domingo e, atualmente, está investigando o incidente.
A Ascom é uma empresa de telecomunicações com subsidiárias em 18 países, focada em comunicações sem fio locais.
O grupo de hackers HellCat reivindicou o ataque e informou que roubou cerca de 44GB de dados que podem afetar todas as divisões da empresa.
A Ascom diz que os hackers comprometeram seu sistema de tickets técnicos, o incidente não teve impacto nas operações comerciais da empresa, e que clientes e parceiros não precisam tomar nenhuma ação preventiva.
Rey, um membro do grupo de hacking HellCat, disse que roubou da Ascom o código-fonte de vários produtos, detalhes sobre vários projetos, faturas, documentos confidenciais e questões do sistema de tickets.
A empresa suíça não forneceu detalhes técnicos sobre a invasão, mas mirar no sistema de tickets Jira tornou-se um método de ataque comum para os hackers do HellCat.
Jira é uma plataforma de gerenciamento de projetos e rastreamento de problemas comumente usada por desenvolvedores de software e equipes de TI para acompanhar e gerenciar projetos.
A plataforma frequentemente contém dados sensíveis, tais como código-fonte, chaves de autenticação, planos de TI, informações de clientes e discussões internas relacionadas a esses projetos.
Incidentes anteriores reivindicados pelo HellCat e confirmados pelas empresas alvo incluem Schneider Electric, Telefônica e Orange Group, e, em todos os três casos, os hackers invadiram os sistemas através dos servidores Jira.
Recentemente, os mesmos hackers também assumiram a responsabilidade por um ataque ao fabricante de carros multinacional britânico Jaguar Land Rover (JLR) e roubaram e vazaram cerca de 700 documentos internos.
Conforme o agente de ameaça descreve, o vazamento inclui “logs de desenvolvimento, dados de rastreamento, códigos-fonte” e dados de um funcionário que expôs “informações sensíveis como nome de usuário, e-mail, nome de exibição, fuso horário e mais.”
Alon Gal, co-fundador e CTO na empresa de inteligência de ameaças Hudson Rock, diz que o incidente da JLR segue um padrão específico dos hackers do HellCat.
O pesquisador disse que o incidente da JLR foi possível usando as credenciais de um funcionário da LG Electronics com credenciais de terceiros para o servidor Jira da JLR.
Gal destaca que as credenciais comprometidas não eram recentes e estavam expostas há vários anos, mas permaneceram válidas todo esse tempo, permitindo aos hackers tirar vantagem.
A atividade do HellCat não parou nesses ataques, pois o agente de ameaça anunciou hoje que comprometeu o sistema Jira da Affinitiv, uma empresa de marketing que fornece uma plataforma de análise de dados para OEMs e concessionárias na indústria automotiva.
O agente de ameaça confirmou que invadiu a Affinitiv através de um sistema Jira e divulgou publicamente que roubou um banco de dados com um pouco mais de 470.000 "e-mails únicos" e mais de 780.000 registros.
Para provar a invasão, os hackers publicaram duas capturas de tela com nomes, endereços de e-mail, endereços postais e nomes de concessionárias.
Alon Gal está alertando que o Jira “tornou-se um alvo principal para atacantes devido à sua centralidade nos fluxos de trabalho empresariais e a riqueza de dados que abriga”, e esse tipo de acesso pode ser usado para "mover-se lateralmente, escalar privilégios e extrair informações sensíveis."
Como as credenciais coletadas por infostealers são fáceis de encontrar e dado que algumas delas permanecem inalteradas por anos, já que as empresas falham em incluí-las em um processo de rotação regular, tais ataques provavelmente se tornarão mais frequentes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...