Um ataque de ransomware perpetrado contra uma da empresa de processamento salarial ADP, localizada no Médio Oriente, levou ao roubo de dados de clientes, afetando significativamente a gigante tecnológica Broadcom. A informação foi avançada pelo The Register.
Soube-se que o departamento de Recursos Humanos da Broadcom já deu início ao processo de comunicação aos seus atuais e antigos colaboradores que foram impactados pelo ciberataque. Este incidente de ransomware teve como alvo a Business Systems House (BSH), a referida ADP, e ocorreu em setembro de 2024.
Importa notar que, no momento do ataque, a Broadcom já se encontrava em processo de transição para um novo fornecedor de serviços de processamento salarial na região do Médio Oriente, não utilizando mais os serviços da ADP nem, por extensão, da BSH.
O ataque e a longa espera pela informação
Numa comunicação interna dirigida aos indivíduos afetados, é detalhada a cronologia dos eventos: "No final de setembro de 2024, a BSH/ADP tomaram conhecimento do ataque de ransomware."
Prossegue o email: "Em dezembro de 2024, a BSH/ADP tiveram conhecimento de que dados pessoais foram disponibilizados na internet. Dado que os dados subtraídos pelo ator criminoso se encontravam num formato não estruturado, determinar definitivamente quais os funcionários impactados e, para cada funcionário, que campos de dados foram divulgados, foi um processo demorado para a BSH/ADP".
A BSH/ADP afirmam ter trabalhado com a ADP e peritos externos para investigar o incidente e reforçar a segurança do ambiente da BSH contra ataques semelhantes. As autoridades policiais locais e as entidades de proteção de dados foram notificadas.
El Dorado e BlackLock: Os suspeitos do costume
De acordo com a plataforma de monitorização de código aberto Ransomware.Live, o grupo de ransomware El Dorado reivindicou a responsabilidade pelo ataque em novembro de 2024. Este grupo, lançado em março de 2024 e rapidamente apelidado por alguns investigadores como "o novo império dourado do cibercrime", é agora suspeito de ter ligações ao grupo BlackLock.
Embora estas ligações não sejam claras nem confirmadas, múltiplos investigadores consideram que o BlackLock poderá ser uma nova designação do El Dorado. Ambos os grupos são de língua russa. O blog de fugas de informação do El Dorado encontra-se indisponível desde março, e a BSH surge como vítima no site do BlackLock, que permanece online.
Dados de infostealers fornecidos ao Ransomware.Live pela empresa de segurança Hudson Rock também indicam que cinco funcionários tiveram as suas contas comprometidas. Isto levou a um total de 560 utilizadores comprometidos e ao roubo de credenciais de cinco funcionários de terceiros, potencialmente abrindo a superfície de ataque a 35 empresas adicionais.
O portal The Register contactou diversas empresas de alto perfil que a ADP lista como clientes no seu website, bem como as mencionadas nos ficheiros do El Dorado/BlackLock, questionando se também foram comprometidas. No entanto, obteve poucas respostas definitivas. A fabricante de pneus Michelin, embora não mencionada nos ficheiros dos grupos de ransomware mas listada como cliente da ADP, confirmou não ter sido afetada.
A única empresa da Broadcom listada nos vários diretórios de ficheiros no site de fugas do BlackLock é a VMware, embora a Broadcom não tenha confirmado a extensão total do incidente. A Broadcom não respondeu a um pedido de comentário por parte do The Register.
Que dados foram comprometidos?
Como é habitual em casos de roubo de dados, os tipos de informação subtraída podem variar para cada indivíduo afetado. Para proteger a fonte da notícia, o The Register optou por não divulgar os tipos de dados específicos roubados relativamente ao indivíduo em questão, mas a lista de possíveis dados potencialmente afetados inclui:
- Números de Identificação Nacional (ex: Cartão de Cidadão)
- Números de Identificação do Seguro Nacional de Saúde
- Números de apólice/ID do Seguro de Saúde
- Números de contas bancárias
- Datas de nascimento
- Detalhes salariais
- Data de cessação do contrato de trabalho
- Endereços de email pessoais
- Números de telefone pessoais
- Moradas de residência
Recomendações aos lesados
A Broadcom instou os indivíduos afetados a "ativar a autenticação multifator e quaisquer outras configurações de segurança avançadas oferecidas pelas suas instituições financeiras", bem como a monitorizar atentamente os seus registos financeiros para detetar qualquer atividade não autorizada ou inesperada.
ADP demarca-se do incidente direto
Um porta-voz da ADP declarou ao The Register que "apenas um pequeno subconjunto de clientes da ADP" foi afetado pela violação na BSH, e somente em "certos países no Médio Oriente".
O porta-voz sublinhou ainda que não houve qualquer impacto nos sistemas, infraestrutura ou dados dentro do ambiente da ADP – o ataque afetou exclusivamente a BSH – e que o incidente está agora resolvido, tanto quanto é do seu conhecimento.
"Como este não foi um incidente da ADP, não nos envolvemos nem interagimos diretamente com o mau ator e não recebemos qualquer comunicação direta da parte deles", afirmou. "Não fizemos nem facilitámos qualquer pagamento de resgate e, tanto quanto sabemos, não temos conhecimento de qualquer pagamento de resgate efetuado pela BSH."
A afirmação de que não foi pago qualquer resgate é consistente com o facto de o El Dorado ter publicado os dados online. No típico modelo de dupla extorsão das negociações de ransomware, os criminosos ameaçam publicar os dados online se o resgate não for pago. Não haveria motivo para confiar no pagamento de um resgate ao El Dorado se este não cumprisse a promessa de não publicar os dados.
"Levamos estes assuntos muito a sério e temos medidas robustas em vigor para os endereçar", acrescentou o porta-voz da ADP. "Assim que tomámos conhecimento do impacto para os nossos clientes e os seus funcionários, tomámos medidas significativas para os proteger e ajudar a BSH a conter e remediar o seu problema de segurança."
"Os nossos peritos técnicos e de segurança: (a) forneceram notificações voluntárias aos reguladores de privacidade estabelecidos nos países impactados identificados; e (b) trabalharam de perto com a BSH e o seu parceiro de resposta a incidentes, e peritos terceiros para aconselhar na investigação e resolução do incidente. Também trabalhámos de perto com os clientes impactados identificados e procurámos notificá-los de qualquer potencial impacto para os seus funcionários para que pudessem tomar as medidas apropriadas."
Atualização 19/05/2025: O artigo foi atualizado depois da publicação para refletir o facto que a BSH é uma parceira comercial da ADP, e não uma subsidiária da mesma. Agradecemos a notificação sobre os dados incorretamente apresentados inicialmente.
Nenhum comentário
Seja o primeiro!