Um importante provedor de folha de pagamento usado por milhares de empresas nos Estados Unidos, incluindo agências governamentais, está relatando que espera ficar fora do ar por “semanas” devido a um ataque devastador de ransomware.
A Kronos, conhecida por ser usada por milhares de empresas, da Tesla à National Public Radio (NPR), teve seu serviço de nuvem privada desativado na segunda-feira. Esse elemento é fundamental para os serviços UKG Workforce Central, UKG TeleStaff e Banking Scheduling Solutions, usados para rastrear horas de funcionários e processar contracheques. A empresa confirmou que descobriu um ataque de ransomware em andamento em 11 de dezembro e colocou os serviços hospedados no Kronos Private Cloud offline como parte de suas medidas de mitigação. A Kronos não deu um cronograma para a recuperação, mas disse que espera que demore pelo menos vários dias, se não semanas, antes que os serviços estejam totalmente online novamente.
Embora não tenha sido confirmado, há especulações de que a notória vulnerabilidade Log4Shell estava envolvida, uma vez que os serviços em nuvem Kronos são conhecidos por serem construídos em Java em grande parte.
Ataque de ransomware interrompe importante provedor de folha de pagamento antes do Natal
O ataque de ransomware aparentemente causou tantos danos que a Kronos espera que demore vários dias até que algum nível de serviço seja restaurado. Dado que a recuperação total pode levar semanas, a empresa pediu aos clientes que procurem outros provedores de folha de pagamento para preencher por enquanto.
Não se sabe qual malware estava envolvido no ataque de ransomware ou como ele começou, mas, por algum motivo, a Kronos optou por publicar um aviso importante sobre sua conscientização sobre a recém-descoberta vulnerabilidade do Log4J e seus esforços contínuos para corrigi-la seus sistemas para protegê-lo. Embora não tenha feito uma conexão direta entre isso e o ataque de ransomware, isso mais o fato de que os serviços em nuvem Kronos são construídos com uma grande quantidade de Java levou à especulação de que o exploit Log4Shell altamente divulgado pode estar envolvido.
Qualquer que seja a fonte da vulnerabilidade, Erich Kron (defensor da conscientização de segurança na KnowBe4) observa que o período de férias para muitas empresas é quando os criminosos cibernéticos devem trabalhar em turnos duplos: “As gangues de ransomware costumam programar os ataques para ocorrer quando as organizações estão falta de pessoal devido a feriados, ou quando eles estão extremamente ocupados, com a esperança de que o ataque demore mais para detectar e os tempos de resposta sejam muito mais lentos. Além disso, a pressão para atender os clientes durante esses momentos cruciais pode ser muito alta, tornando mais provável que a vítima pague o resgate em um esforço para retomar as operações rapidamente… Infelizmente, o Grinch afetou muito o Natal. de pessoas que usam os serviços KPC. Espero que isso não resulte em uma assinatura do 'Clube Jelly of the Month' em vez dos bônus anuais.”
Os ataques Log4j aumentam após a divulgação da vulnerabilidade
A vulnerabilidade Log4J foi uma bomba devido ao escopo de possíveis vítimas (essencialmente qualquer servidor da Web executando Java) e à facilidade com que um invasor pode usá-lo. Foi divulgado ao público em 9 de dezembro e, no final do fim de semana seguinte, os pesquisadores já haviam detectado centenas de milhares de ataques sendo lançados em todo o mundo.
Uma ferramenta de diagnóstico comumente usada para aplicativos Java, o Log4J é tão onipresente que está incluído em alguns dos principais pacotes de software de código aberto. A exploração permite que um invasor abra a porta simplesmente enviando uma série de comandos básicos, fornecendo um ponto de entrada para movimento lateral em uma rede da empresa por meio dos privilégios avançados que o aplicativo possui. A vulnerabilidade foi corrigida pelo editor Apache, mas requer que os administradores atualizem para novas versões do software.
A equipe de segurança da Microsoft informou que ataques de ransomware já estão ocorrendo após essas violações em pelo menos vários casos. Não se sabe se o provedor de folha de pagamento corrigiu a vulnerabilidade no Log4J antes de seu próprio ataque de ransomware, mas é provável que alguns administradores demorem semanas para chegar até ele; isso pode ser agravado pelo desembarque em uma temporada de férias de Natal, na qual as pessoas estão começando a tirar uma folga de seus empregos e as empresas geralmente relaxam suas posturas até o ano novo chegar.
Clientes confusos, procurando novos provedores de folha de pagamento antes dos feriados
Os clientes da Kronos não são apenas um provedor de folha de pagamento antes de uma das temporadas mais movimentadas em vários setores (e um momento comum para distribuição de bônus anuais), mas também ficam se perguntando se perderam uma variedade de dados confidenciais. Os provedores de folha de pagamento têm acesso a informações financeiras corporativas e individuais que podem ser facilmente usadas para roubo e golpes, e os ataques de ransomware agora começam frequentemente com a exfiltração de dados como esse e ameaças de publicá-los na dark web se os pagamentos não forem feitos.
Até o momento em que este livro foi escrito, a Kronos não tinha novas atualizações para esses clientes (além de encaminhá-los para outros provedores de folha de pagamento). A questão destaca a necessidade de planos de contingência para ataques de ransomware, algo que foi claramente inadequado neste caso. Embora isso recaia principalmente sobre a Kronos neste caso, Nick Tausek (arquiteto de soluções de segurança da Swimlane) observa alguns elementos que todas as organizações devem considerar na preparação para (altamente provável) futuros ataques de ransomware: “Para diminuir a chance de ataques como este No futuro, as empresas devem considerar a implementação de uma plataforma abrangente que centralize os protocolos de detecção, resposta e investigação em um único esforço e ajude as equipes de segurança a automatizar determinadas tarefas. Ao aproveitar o poder da automação de segurança de baixo código, as empresas podem responder a mais alertas em menos tempo, diminuindo consideravelmente o risco de um ataque de ransomware direcionado sem aumentar a carga de trabalho da equipe de operações de segurança.”
Embora não confirmado, há especulações de que a #vulnerabilidade Log4Shell estava envolvida no ataque #ransomware, uma vez que os serviços em nuvem Kronos são construídos em Java. #cybersecurity #respectdataClique para tuitarAmit Shaked, co-fundador & CEO da Laminar, acrescenta: “Os dados não são mais uma mercadoria, são uma moeda – como esse incidente representa. As informações dentro da rede de uma organização são valiosas para empresas e invasores. Com a maioria dos dados do mundo residindo na nuvem, é imperativo que as organizações se tornem nativas da nuvem ao pensar em proteção de dados. As soluções precisam ser totalmente integradas à nuvem para identificar riscos potenciais e ter uma compreensão mais profunda de onde os dados residem. Usando a abordagem dupla de visibilidade e proteção, as equipes de proteção de dados podem saber com certeza quais armazenamentos de dados são alvos valiosos e garantir que os controles adequados, bem como os fluxos de backup e recuperação, estejam em vigor.”
TwitterFacebookLinkedIn
