SANS Institute afirma que vários funcionários foram alvo de um ataque recente

O SANS Institute diz que o incidente de segurança divulgado recentemente envolveu e-mails de phishing enviados a vários de seus funcionários.

O ataque foi descoberto em 6 de agosto e resultou no encaminhamento de 28.000 registros de informações de identificação pessoal (PII) para um endereço de e-mail externo desconhecido. Foram encaminhados 513 emails, mas a maioria deles não trazia informações importantes.

Após a divulgação inicial do incidente de segurança, o SANS publicou indicadores de comprometimento associados a ele, revelando que, em 24 de julho, os invasores enviaram um e-mail de phishing para vários funcionários, embora apenas um deles tenha caído na armadilha.

“[O] e-mail de phishing atraiu um único usuário a instalar um suplemento malicioso do Office 365 para sua conta. O add-in O365 fez com que uma regra de encaminhamento fosse configurada na conta da vítima, o que resultou em 513 emails sendo encaminhados para um endereço de email externo desconhecido ”, explica SANS .

O e-mail, que trazia o assunto “Arquivo ‘Cópia de sans bônus 24JUL2020.xls’ foi compartilhado com <recipiente>”, parecia vir de um ativo do Office 365, observa a empresa.

Como parte do ataque, a vítima foi induzida a clicar em um botão “Abrir”. Isso resultou na instalação do aplicativo malicioso do Office 365 para configurar uma regra de encaminhamento de email contendo palavras-chave associadas aos dados financeiros.

Chamado de Enable4Excel, o suplemento malicioso do Office 365 se assemelha a um suplemento legítimo do Salesforce chamado Enabler4Excel, explica o SANS.

“Com base nos usuários que receberam o e-mail de phishing e nos dados que o invasor estava interessado em adquirir por meio da regra de encaminhamento de e-mail malicioso, não há indicação de que isso visasse diretamente a organização SANS ou seus clientes. O ataque parece ter sido oportunista com a intenção de roubo financeiro ”, diz SANS.

Na semana passada, a empresa relatou que os dados acessados ​​pelos invasores não continham senhas ou informações financeiras, como dados de cartão de crédito. A empresa está em processo de informar os usuários afetados sobre o incidente, mas afirma não alertar as autoridades, optando por fazer sua própria investigação.

“[A] equipe de proteção de dados do SANS considerou se algum requisito legal foi acionado, seja em relação às leis dos EUA ou da UE. Concluímos que não. Uma avaliação de risco completa foi feita envolvendo a natureza e a qualidade dos dados e se os riscos em torno desses dados eram potencialmente significativos para nossos clientes ”, diz SANS.

A empresa também revelou que dados de contato profissional limitados foram afetados no incidente, que a maioria deles poderia ter sido encontrada no domínio público e que, em sua opinião, o incidente não atendeu aos critérios legais de notificação.

“Embora o SANS não tenha sido legalmente obrigado a relatar o incidente, o SANS notificou seus clientes afetados no interesse da transparência total, como uma questão de boa prática, e para garantir que nossos clientes afetados tivessem informações relevantes em mãos”, observa a empresa .

Fonte: https://www.securityweek.com/sans-institute-says-multiple-employees-targeted-recent-attack