Accenture é vítima de ransomware

A Accenture, uma das maiores consultorias do mundo, confirmou na última quarta-feira (11/08) ter sido vítima de um ataque de ransomware. A confirmação veio à tona depois que o grupo LockBit começou a divulgar arquivos supostamente roubados da companhia. Um contador exibido no site da gangue diz que os documentos se tornariam públicos em poucas horas, caso a Accenture não pagasse o resgate. A Accenture registrou recentemente uma receita de US$ 44,3 bilhões e tem 569 mil funcionários atuando em 50 países.

Em uma declaração pública, a Accenture afirmou que, por meio de controles e protocolos de segurança, identificou atividades irregulares em seus ambientes e que imediatamente contive a situação, isolando os servidores afetados. Afirmou também ter recuperardo totalmente os sistemas afetados a partir do backup e que não houve impacto em suas operações nem nos sistemas dos clientes. Ainda que a Accenture não tenha detalhado o incidente, tudo leva a crer que se trata de um ataque ransomware.

Quando o contador exibido no site do LockBit chegou ao final, os hackers divulgaram mais de 2 mil arquivos supostamente roubados da Accenture. A empresa não fez comentários sobre os documentos que vazaram, mas pessoas que chegaram a analisá-los disseram que não parecem armazenar informações de clientes, segundo o site SecurityWeek. No entanto, a empresa de cibersegurança Cyble relata que o grupo alega ter obtido mais de 6 TB de arquivos e exigiu da Accenture um resgate de US$ 50 milhões.

Fontes familiarizadas com o ataque disseram ao site BleepingComputer que a Accenture confirmou o ataque de ransomware a pelo menos um fornecedor e que um provedor de serviços de TI também está notificando clientes.

LockBit é um grupo de ransomware de origem russa que opera sob o modelo “ransomware as a service (RaaS)”, que tem contribuído para o crescimento desse tipo de ataque. Operando na Dark Web, o esquema RaaS cobra pelo uso de ransomware, que criptografa e rouba dados e pede resgate por eles. O autor do ransomware fatura cobrando uma taxa mensal pelo uso do software ou recebendo parte do lucro obtido com os ataques, correndo menos risco, enquanto os usuários do ransomware também ganham, sem que seja necessário ter muita perícia técnica.

A  invasão da Accenture ocorreu alguns dias depois de que o Centro de Cibersegurança da Austrália (ACSC) ter dado um alerta envolvendo várias organizações australianas, de diversos setores de atividade, que haviam sido atacadas pelo ransomware LockBit 2.0. Além da criptografia de dados, as vítimas receberam ameaças de vazamento de documentos e pedidos de resgate.

De acordo com a empresa de cibersegurança Appgate, o Lockbit 2.0, a versão mais recente do ransomware de mesmo nome, conta com mais recursos, entre eles um que criptografa domínios inteiros do Windows por meio de políticas de grupo. Além disso, conta com uma nova estratégia para conquistar afiliados – depois de criptografar um dispositivo, o ransomware define o papel de parede na qual assume a responsabilidade pelo ataque, pede resgate e faz um anúncio de recrutamento, prometendo milhões de dólares ao funcionários da empresa-vítima que der acesso à rede para que seja possível lançar um ataque.

O curioso no caso da Accenture é que, uma semana antes do incidente, a empresa havia divulgado em seu site que o volume das atividades de invasão cibernética saltou 125% no primeiro semestre de 2021 em comparação com o mesmo período do ano passado, de acordo com a atualização mais recente da central Cyber Investigations, Forensics & Response (CIFR) da própria Accenture, que reúne informações sobre incidentes de cibersegurança. Segundo a Accenture, o aumento de três dígitos foi impulsionado principalmente pelo acesso e controle remoto de redes, invasão de cadeias de suprimentos e também ataques de ransomware e operações de extorsão.

Certamente, no próximo boletim da CIFT, a Accenture fará parte dessas estatísticas.