Fornecedor líder de entrega de vídeo dos EUA confirma ataque de ransomware
SeaChange International, um fornecedor líder com base nos EUA de soluções de software de entrega de vídeo, confirmou um ataque de ransomware que interrompeu suas operações durante o primeiro trimestre de 2020.
A empresa é negociada na NASDAQ como SEAC e tem escritórios na Polônia e no Brasil. Sua lista de clientes inclui empresas de telecomunicações e operadoras de satélite, como BBC, Cox, Verizon, AT&T, Vodafone, Direct TV, Liberty Global e Dish Network Corporation.
SeaChange também diz que sua plataforma de entrega de vídeo Framework atualmente capacita centenas de plataformas de TV ao vivo e vídeo on demand (VOD) com mais de 50 milhões de assinantes em mais de 50 países.
Ataque de ransomware de abril agora confirmado
BleepingComputer soube do ataque aos servidores da SeaChange durante abril de 2020, quando uma gangue de ransomware postou imagens de arquivos que alegou ter roubado dos servidores da empresa.
Entre essas capturas de tela, encontramos uma carta de apresentação com uma proposta de serviço de vídeo sob demanda do Pentágono.
Quando o BleepingComputer entrou em contato com o Departamento de Defesa dos Estados Unidos (DoD) para perguntar se eles estavam cientes de uma violação do SeaChange, o DoD se recusou a comentar, dizendo que não compartilha informações sobre possíveis invasões de rede ou investigações relacionadas.
“De acordo com a política, não teremos informações para fornecer sobre possíveis invasões de rede ou investigações sobre possíveis invasões de rede no DOD ou em redes de contratados”, disse o porta-voz do Departamento de Defesa, tenente-coronel Robert Carver, ao BleepingComputer.
O BleepingComputer também entrou em contato com a SeaChange várias vezes para descobrir se eles sabiam das alegações do grupo de ransomware, mas nossos e-mails não foram respondidos.
No entanto, hoje, SeaChange finalmente confirmou o ataque de ransomware em um relatório trimestral 10-Q arquivado com a Securities and Exchange Commission (SEC) dos Estados Unidos.
“No primeiro trimestre do ano fiscal de 2021 [sic], sofremos um ataque de ransomware em nosso sistema de tecnologia da informação”, relatou a empresa.
“Embora esse ataque não tenha causado um efeito adverso relevante em nossas operações comerciais, ele causou uma interrupção temporária. Uma investigação forense está sendo conduzida para determinar se algum dado foi comprometido.”
Ataque reivindicado pela gangue de ransomware REvil
Como BleepingComputer relatou anteriormente, o ataque de ransomware SeaChange reconhecido pela empresa hoje foi reivindicado na época pelo grupo de ransomware REvil (também conhecido como Sodinokibi).
Eles criaram uma nova página de vítima para SeaChange, que foi usada para publicar instantâneos de documentos que os operadores REvil disseram ter sido durante o ataque.
REvil é uma operação de ransomware-as-a-service (RaaS) conhecida por violar redes corporativas usando serviços de desktop remoto expostos, exploits , spam , bem como através de provedores de serviços gerenciados hackeados .
Embora os detalhes sobre o ataque ao SeaChange sejam escassos, a empresa de inteligência de ameaças cibernéticas Bad Packets descobriu que a empresa estava usando um servidor Pulse Secure VPN não corrigido contra a vulnerabilidade CVE-2019-11510 antes de ser atingido por ransomware.https://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-3622156405313063&output=html&h=280&slotname=839a385.667965f&adk=3870686132&adf=2046593713&w=336&lmt=1599679685&psa=1&guci=2.2.0.0.2.2.0.0&us_privacy=1—&format=336×280&url=https%3A%2F%2Fwww.bleepingcomputer.com%2Fnews%2Fsecurity%2Fleading-us-video-delivery-provider-confirms-ransomware-attack%2F%3F%26web_view%3Dtrue&flash=0&wgl=1&adsid=ChAI8J3n-gUQgeX20bej5uorEj0AbTB3B-v1P3mvOFkvnzkU2OnDI8xOiyyGWlBmxNZjUXCbepppIUSo_-dZJOeXCod5ZWhctPDE4KnzLEdI&dt=1599748578388&bpp=6&bdt=106606&idt=7&shv=r20200901&cbv=r20190131&ptt=9&saldr=aa&abxe=1&cookie=ID%3D60efd9b1f4328cf2%3AT%3D1597787401%3AS%3DALNI_MZX9unSVi9hFrVwIukW0P1CpexeYA&prev_fmts=0x0%2C834x500&nras=1&correlator=5830651821415&frm=20&pv=2&ga_vid=342893000.1597787401&ga_sid=1599748475&ga_hid=1552947565&ga_fc=0&iag=0&icsg=695784734720&dssz=72&mdo=0&mso=0&u_tz=-180&u_his=1&u_java=0&u_h=768&u_w=1366&u_ah=768&u_aw=1366&u_cd=24&u_nplug=3&u_nmime=4&adx=90&ady=3174&biw=1349&bih=695&scr_x=0&scr_y=3052&eid=21066807&oid=3&pvsid=2190616467002188&pem=723&ref=https%3A%2F%2Fcyware.com%2Fcyber-security-news-articles&rx=0&eae=0&fc=896&brdim=1920%2C0%2C1920%2C0%2C1366%2C0%2C1366%2C768%2C1366%2C695&vis=1&rsz=%7Cm%7CpoeE%7Cp&abl=XS&pfx=0&fu=8192&bc=31&jar=2020-09-10-14&ifi=11&uci=a!b&fsb=1&xpc=rKI1RhAZ3w&p=https%3A//www.bleepingcomputer.com&dtd=16
Depois de obter acesso à rede de uma empresa visada, os operadores do REvil se espalharam lateralmente enquanto roubavam dados confidenciais de servidores e estações de trabalho para serem usados como alavanca para convencer a vítima a pagar o resgate sob a ameaça de vazar publicamente todas as informações roubadas.
Posteriormente, eles criptografaram todos os dispositivos da rede comprometida da empresa após obter acesso administrativo a um controlador de domínio.
Brown-Forman é uma das últimas vítimas de REvil , uma empresa que possui as mundialmente conhecidas marcas de uísque Jack Daniel’s e vodka Finlandia.
