A empresa finlandesa de serviços de TI e provedora de hospedagem em nuvem para empresas, Tietoevry, sofreu um ataque de ransomware que afetou clientes de hospedagem em nuvem em um de seus data centers na Suécia.
O ataque foi supostamente conduzido pelo grupo de ransomware Akira.
A Tietoevry é uma empresa de serviços de TI finlandesa que oferece serviços gerenciados e hospedagem em nuvem para empresas.
A empresa emprega aproximadamente 24.000 pessoas em todo o mundo e teve uma receita em 2023 de US$ 3,1 bilhões.
A Tietoevry confirmou hoje que o ataque de ransomware ocorreu na noite de sexta-feira para sábado e afetou apenas um dos seus data centers na Suécia.
"O ataque foi limitado a uma parte de um dos nossos data centers Suecos, impactando os serviços da Tietoevry para alguns de nossos clientes na Suécia," explica um comunicado de imprensa da Tietoevry.
"A Tietoevry imediatamente isolou a plataforma afetada, e o ataque de ransomware não afetou outras partes da infraestrutura da empresa."
O BleepingComputer soube que este data center é usado para o serviço de hospedagem em nuvem gerenciada da empresa, levando a interrupções para vários clientes na Suécia.
A empresa diz que estão no processo de restauração da infraestrutura e dos serviços, mas que os clientes ainda permanecem impactados à medida que trazem os servidores de volta online.
"A Tietoevry está seguindo uma metodologia bem testada para restaurar infraestrutura e serviços.
O trabalho é realizado em uma sequência planejada para garantir o manuseio correto dos dados do cliente," continua o comunicado à imprensa.
"O cronograma também variará um pouco dependendo do cliente, das soluções em questão e das necessidades de restauração de dados relacionados."
O BleepingComputer entrou em contato com a Tietoevry para obter mais informações sobre o ataque, mas foi apenas informado de que o ataque "impactou uma seção específica de um dos data centers da Tietoevry localizados na Suécia."
A Tietoevry já sofreu previamente um ataque de ransomware em 2021 que os obrigaram a desconectar os serviços dos clientes.
Se você tem alguma informação sobre este ataque ou outros ataques cibernéticos, pode nos contatar com segurança no Signal pelo número +1 (646) 961-3731, por e-mail no endereço [email protected], ou usando nosso formulário de dicas.
O BleepingComputer descobriu que o ataque de ransomware criptografou os servidores de virtualização e gerenciamento da empresa usados para hospedar os sites ou aplicações para uma ampla gama de empresas na Suécia.
A maior cadeia de cinemas da Suécia, Filmstaden, confirmou que estão entre os afetados pelo ataque, impedindo a compra online de ingressos de cinema através do site ou aplicativo móvel.
Outras empresas impactadas pelo ataque incluem a cadeia de descontos de varejo Rusta, o fornecedor de materiais de construção bruta Moelven, e o fornecedor agrícola Grangnården, que foi forçado a fechar suas lojas enquanto os serviços de TI estão sendo restaurados.
O apagão também está afetando o sistema gerenciado de folha de pagamento e RH da Tietoevry, o Primula, que é usado pelo governo, universidades e faculdades na Suécia.
As universidades e faculdades impactadas no país incluem o Karolinska Institutet, SLU, University West, Universidade de Estocolmo, Universidade de Lund e Universidade de Malmö.
O apagão na Primula também impactou várias agências governamentais e municípios na Suécia, incluindo o Statens Servicecenter, o município de Vellinge, o município de Bjuv e o condado de Uppsala.
Para Uppsala, o apagão é mais significativo, pois também afeta o sistema de registro de saúde da região.
O BleepingComputer foi informado de que a operação de ransomware Akira está por trás do ataque à Tietoevry, logo após o governo finlandês alertar sobre seus ataques em andamento contra empresas no país.
A operação de ransomware Akira lançada em março de 2023 e rapidamente começou a violar redes corporativas em todo o mundo em ataques de extorsão dupla.
O Centro de Segurança Cibernética Nacional da Finlândia (NCSC) divulgou este mês que houve 12 casos relatados de ataques de ransomware Akira em 2023, com a maioria acontecendo no final do ano.
"Os incidentes foram particularmente relacionados a implementações de VPN Cisco mal protegidas ou suas vulnerabilidades não corrigidas.
A recuperação é geralmente difícil", alertou o NCSC finlandês.
Em agosto, o BleepingComputer relatou sobre o gangue de ransomware Akira violando contas VPN da Cisco que não estavam protegidas pela autenticação de múltiplos fatores para obter acesso às redes internas corporativas.
Uma vez que os cibercriminosos violam uma rede, eles se espalham lateralmente para outros dispositivos enquanto roubam dados corporativos.
Uma vez que todos os dados tenham sido roubados e eles obtenham privilégios administrativos, os criminosos criptografam arquivos na rede.
A Cisco informou ao BleepingComputer na época que os clientes devem configurar o MFA em todas as contas VPN e enviar dados de registro para um servidor de syslog remoto.
Usando um servidor de syslog remoto, mesmo que os cibercriminosos limpem os logs no roteador Cisco, eles ainda estarão acessíveis para análise após uma violação.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...