Clorox sofre breach após ataque de chamadas falsas da Scattered Spider

São Paulo — InkDesign News — O gigante de produtos de limpeza Clorox processou sua parceira de serviços de TI, Cognizant, alegando que um devastador ataque de ransomware em agosto de 2023 expôs uma vulnerabilidade crítica, resultando em perdas de US$ 380 milhões em receita.

Incidente e vulnerabilidade

De acordo com a denúncia, hackers do grupo Scattered Spider conseguiram obter credenciais realizando múltiplas chamadas à central de atendimento da Cognizant, solicitando a redefinição de senhas de funcionários bloqueados. O agente da central, por sua vez, ignorou procedimentos estabelecidos, falhando na verificação da identidade do chamador e fornecendo novas credenciais. A falta de alertas a funcionários e gerentes surpreendidos por essa fraude, que poderia ter alertado a equipe de segurança da Clorox, agravou a situação.

Impacto e resposta

Após obter acesso a uma conta de um funcionário da segurança de TI, os hackers rapidamente elevaram seus privilégios a administrações de domínio, o que lhes deu acessos irrestritos ao Active Directory da Clorox. Com credenciais de níveis altos, desabilitaram controles de segurança, escalando ainda mais privilégios e implantando ransomware em servidores críticos. Isso resultou em uma paralisação das linhas de produção e na interrupção da execução de pedidos. Clorox reportou gastos diretos de US$ 49 milhões para remediação, além da perda de US$ 380 milhões em receita.

Mitigações recomendadas

Para mitigar esses riscos, organizações devem adotar Acordos de Nível de Serviço (SLAs) rigorosos com fornecedores, conduzir exercícios regulares de red team para simular ataques em processos terceirizados e exigir relatórios transparentes e em tempo real sobre atividades de alto risco. É imperativo que as permissões da central de atendimento sejam restringidas para evitar que agentes redefinam contas administrativas ou privilegiadas sem um fluxo de aprovação secundário. “A falha na verificação de identidade é uma vulnerabilidade que deve ser abordada com rigor”, afirma um especialista em segurança.

“A falta de alertas básicos poderia ter prevenido essa brecha considerável.”
(“The lack of basic alerts could have prevented this significant breach.”)

— Analista de Segurança, Firma de Consultoria em TI

Os riscos contínuos da terceirização de funções críticas de suporte à TI ressalta a necessidade de uma abordagem defensiva sólida. O incidente Clorox serve como um alerta para a importância crítica de processos rigorosos em serviços de ajuda e na proteção de dados sensíveis.

Fonte: (Hack Read – Segurança Cibernética)