Atento é a mais nova vítima de ransomware, a nível mundial
Desde as 11h da manha de domingo (17/10/2021) a Atento End-to-end CX solutions está em resposta a um incidente de Ramsomware.
O incidente afetou primariamente as operações de CX, Backoffice e Call Center alcançando a maior parte dos 14 países onde a empresa tem presença.
A empresa confirmou a clientes e parceiros que a praga LockBit 2.0 foi o agente de infecção. Não há outras informações confirmadas mas sabemos que o vetor de exploração desse agente normalmente é RDP exposto ao mundo ou conexões VPN brute-forced, além de haverem alguns IOC comum em diversos casos. Esse é o mesmo agente que afetou a Accenture há pouco tempo então as rotinas anteriormente aplicadas podem ser apropriadas novamente para double-check de indícios de espalhamento ou tentativa de espalhamento da praga para todos clientes Atento.
A Atento teve a iniciativa de se desconectar unilateralmente de seus clientes, mas fica a sugestão de doublecheck em seus AV, IDPS e outros elementos isolando as conexões desse fornecedor com sua organização caso você esteve conectado na última semana.
Os artefatos comuns deixados como rastro pelo Lockbit 2.0 são: delsvc.bat detectado como Trojan.BAT.KILLPROC.D, av.bat detectado como Trojan.BAT.KILLAV.WLDX, LogDelete.bat detectado como PUA.BAT.DHARMA.A e Defoff.bat detectado como Trojan.BAT.KILLAV.WLDX. Além disso LockBit 2.0 também usa ferramentas legitimas como vetor de abuso, incluindo PC Hunter e Process Hacker para suspender serviços e processos de controle e segurança nas estações vítimas.
Dessa forma os eventos de suspensão de processos, especialmente banco de dados, Quickbooks, MS-Exchange bem como desativação de anti-vírus, suspensão de serviço de logs e limpeza do Windows Event Logs e desligamento de certos recursos do Windows Defender devem ser os indícios a se buscar nos logs, SOC e SIEM, e atividades de rede a serem buscadas devem envolver sessões RDP, conexões VPN recentes a partir de Geolocation incomum, e claro como de costume controle e auditoria de movimento lateral via portas SMB/CIFS/NB/DS.
Abaixo, comunicado enviado pela Atento:
A empresa inclusive já publicou os Indicadores de comprometimento (IOC), segue a lista:
Ioc Grief
FileHash-MD5 – 72ba727d7441954ecaefd9732d12a36c
FileHash-MD5 – 41b279fa879354ce8a47970758efe40a
FileHash-MD5 – 3eed5f9a1d57b6ae71a5d434ea38814d
FileHash-MD5 – 0c6889688b060544205620fe1fdbfa4d
FileHash-SHA1 – eeecdd240ae03ffb38445d887418d63bf31bc2bc
FileHash-SHA1 – ab291a932bcc1c74231a7a7fda74017956927f37
FileHash-SHA1 – 8631dc198c7641300b08d17fa8686095f045821a
FileHash-SHA1 – 65cf7f65f443e4bb0e743ccb19105813a12e6eb1
FileHash-SHA256 – b5c188e82a1dad02f71fcb40783cd8b910ba886acee12f7f74c73ed310709cd2
FileHash-SHA256 – b21ad8622623ce4bcdbf8c5794ef93e2fb6c46cd202d70dbeb088ea6ca4ff9c8
FileHash-SHA256 – 91e310cf795dabd8c51d1061ac78662c5bf4cfd277c732385a82f181e8c29556
FileHash-SHA256 – 0864575d4f487e52a1479c61c2c4ad16742d92e16d0c10f5ed2b40506bbc6ca0
FileHash-SHA256 – e85745a2e1f70b223c45b7f01a8f1b2c5720a0e9d3dcedc548fdf025fd79306e
FileHash-SHA256 – 423f92df023089b2fffe408ac10daae31d9b1eea72b307e3543fe608f1f16303
FileHash-SHA256 – 2a249ccdbda919aed870d1c953fc9b29b26d4adcc34232f4e535c9215d6064f2
FileHash-SHA256 – 5be47eff3d23983d72dce77998d013f6544c2264b5266079ae1ccbc245b958f2
FileHash-SHA256 – e19de603b1e40d75ff5e6485221072f7ea26308d23c0d381a0de2a6f9b6b401f
FileHash-SHA256 – d94daf6c8d1256c5752d54386f3083739f0e2a6e4628c555cbb7b80e1f350ae9
FileHash-SHA256 – 60d961ce6b28c29e170250613fd4d26a4bfb23ec665cfc1272673aec8ac70d25
FileHash-SHA256 – d8d365841b7c59078651941b9243627e656e77ecaca714669660408dbeb24908
FileHash-SHA256 – da2645e527b5ac51ec0783ba0ca292eead7cd639d1b4cc8436cbc69427c8fbd7
FileHash-SHA256 – d49c315f8da15f050376913167bd4053bdde3ac1f6fb61e7e6595fa149cc2137
FileHash-SHA256 – 3190f80b95d0a2679d8477b8ee7593e3b92e98d4ce95a6b328d42a61c60fe0c9
FileHash-SHA256 – 66203f4cee1b2ba39e50c0c788554ba4f4893bb4033791086da962691ebe2c5f
FileHash-SHA256 – c62fa5d2886f7d8aac6b697e81f1ed68c83e8fd622444b47f79b80b2bfc7db9d
FileHash-SHA256 – ae4973074798158ad36fade4b2b117392fb2f45ccb106d2b6a9fb9796e20f8fa
FileHash-SHA256 – 415acd8bf1b42e727639d59a68403783957bf2e5c43abd2b844a992b4e9aed4b
FileHash-SHA256 – 40c7fc33827c6ff722e304d1fd8b2f7516df97aea2e467b1ad4488bafbfd83bc
FileHash-SHA256 – 6ae79cb996f366ce28c0f3118b295427be3dee48e3492fd9c96a8dec09fa3ddd
FileHash-SHA256 – a88a7f64e27378aefff3a1133a2bc59da8689a38c1d7f801bacf533d11bff8f3
FileHash-SHA256 – e44d909d101a638d1ac57663875324c57063a6e570a0d7d9f9d2b38ca588c340
FileHash-SHA256 – 27efb3d8d9c9c121fb9987fbe1bdbe357fa5cefca3e61cf605f2227929625d72
FileHash-SHA256 – d56a83b9585a97db34c2d99f9cc3a2022aef89730a0f98d497cfec993e2ff1b6
FileHash-SHA256 – 8c5c919e8554b8a5caa31beed13a7f5c6fbc785b393ab25fd61bdda456a202a8
FileHash-SHA256 – dda4598f29a033d2ec4f89f4ae687e12b927272462d25ca1b8dec4dc0acb1bec
FileHash-SHA256 – 624255fef7e958cc3de9e454d2de4ae1a914a41fedc98b2042756042f68c2b69
FileHash-SHA256 – 4c207d929a29a8c25f056df66218d9e8d732a616a3f7057645f2a0b1cb5eb52c
FileHash-SHA256 – c66157a916c7f874bd381a775b8eede422eb59819872fdffafc5649eefa76373
FileHash-SHA256 – 801b04a1504f167c25f568f8d7cbac13bdde6440a609d0dcd64ebe225c197f9b
FileHash-SHA256 – 813d8020f32fefe01b66bea0ce63834adef2e725801b4b761f5ea90ac4facd3a
Fonte: Clientes e parceiros da Atento que preferiram não se identificar