Descoberta e escopo da campanha
Um novo grupo de ameaças rastreado como UNC6783 foi identificado comprometendo provedores de terceirização de processos de negócios (BPO) para obter acesso a empresas de alto valor em múltiplos setores. A tática principal envolve o roubo de tickets de suporte corporativo da plataforma Zendesk, que são frequentemente utilizados para gerenciar solicitações de clientes e parceiros internos.
A Google identificou essa campanha como uma evolução nas táticas de acesso inicial, onde os atacantes não buscam diretamente as empresas-alvo, mas sim os intermediários que prestam serviços para elas. Ao comprometer os provedores de BPO, os criminosos ganham uma posição privilegiada para monitorar e interceptar comunicações sensíveis, além de obter credenciais de acesso a sistemas corporativos.
Vetor e exploração técnica
O vetor de ataque foca na exploração de credenciais de acesso à plataforma Zendesk utilizadas pelos provedores de BPO. Uma vez dentro do sistema de suporte, os atacantes podem acessar tickets que contêm informações confidenciais, incluindo senhas temporárias, links de recuperação de conta e detalhes de configurações de segurança.
A exploração não depende necessariamente de uma vulnerabilidade de dia zero na Zendesk, mas sim da falta de monitoramento adequado das atividades de acesso e da possível reutilização de credenciais comprometidas em outros serviços. Os atacantes utilizam os dados obtidos para realizar ataques de força bruta ou engenharia social contra as empresas-alvo, utilizando informações legítimas para parecerem usuários autorizados.
Impacto e alcance
O impacto dessa campanha é significativo, pois afeta não apenas os provedores de BPO, mas também as empresas de alto valor que dependem desses serviços. A exposição de tickets de suporte pode revelar informações críticas sobre a infraestrutura de TI, processos de negócio e relacionamentos com clientes.
Além do risco de acesso não autorizado, a campanha pode levar a violações de dados sensíveis, incluindo informações financeiras, propriedade intelectual e dados pessoais de clientes. A natureza do ataque sugere que os criminosos estão buscando oportunidades de longo prazo, estabelecendo uma presença persistente nas redes das empresas-alvo.
Medidas de mitigação recomendadas
Para proteger suas organizações contra essa campanha, as empresas devem implementar as seguintes medidas de segurança:
- Autenticação multifator (MFA): Garantir que todas as contas Zendesk, especialmente aquelas utilizadas por provedores de BPO, estejam protegidas com autenticação multifator forte.
- Monitoramento de acesso: Implementar soluções de monitoramento de atividades de usuário (UEBA) para detectar comportamentos anômalos no acesso à plataforma Zendesk.
- Revisão de permissões: Auditar as permissões de acesso de provedores de BPO e garantir que eles tenham apenas o mínimo de privilégios necessário para realizar suas funções.
- Segmentação de rede: Isolar os sistemas de suporte em redes segmentadas para limitar o acesso lateral caso um provedor de BPO seja comprometido.
- Conscientização de segurança: Treinar equipes de suporte e administradores sobre os riscos de engenharia social e a importância de proteger credenciais de acesso.
Implicações regulatórias e LGPD
No contexto brasileiro, a violação de dados de suporte corporativo pode acionar obrigações específicas sob a Lei Geral de Proteção de Dados (LGPD). As empresas afetadas devem notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados dentro dos prazos estabelecidos pela legislação.
A falha em proteger adequadamente os dados de suporte pode resultar em sanções administrativas, incluindo multas que podem chegar a 2% do faturamento da empresa ou R$ 50 milhões por infração. Além disso, a exposição de dados sensíveis aumenta o risco de fraudes e danos à reputação corporativa.
O que os CISOs devem fazer agora
Os profissionais de segurança da informação devem priorizar a revisão dos processos de acesso à plataforma Zendesk e a gestão de credenciais de provedores de BPO. A implementação de soluções de monitoramento de atividades de usuário é essencial para detectar tentativas de acesso não autorizado. Além disso, é crucial estabelecer um plano de resposta a incidentes que inclua a detecção rápida de atividades suspeitas relacionadas a tickets de suporte.
A colaboração com a comunidade de segurança e o compartilhamento de indicadores de comprometimento (IOCs) podem ajudar a identificar outras organizações afetadas pela mesma campanha. Manter-se atualizado sobre as táticas, técnicas e procedimentos (TTPs) dos atacantes é fundamental para antecipar e mitigar futuras tentativas de exploração.
Perguntas frequentes
Como saber se minha conta Zendesk foi comprometida?
Verifique os logs de acesso em busca de atividades anômalas, como logins de locais incomuns ou horários fora do expediente. Utilize ferramentas de monitoramento de segurança para detectar comportamentos suspeitos.
É necessário atualizar o Zendesk?
Sim, manter a plataforma atualizada é essencial, mas a mitigação específica para essa campanha requer medidas adicionais de monitoramento de acesso e gestão de credenciais.
Quais dados estão em risco?
Informações contidas em tickets de suporte, incluindo senhas temporárias, links de recuperação de conta, detalhes de configurações de segurança e dados pessoais de clientes.