Como citado no CISO Advisior no dia 19/02/2022 ” O grupo Lapsus, que no início de dezembro de 2021 atacou o Ministério da Saúde, anunciou na madrugada de hoje um ataque às redes das cadeias de varejo Americanas e Submarino. A mensagem publicada em inglês no canal de Telegram dos atacantes dizia “Acho que os sites de compras da B2W Americanas e Submarino estão com problemas kkkkk”. Houve momentos em que o site do Submarino estava redirecionando usuários para um site pornográfico segundo um leitor do CISO Advisor. Os sites de comércio eletrônico das duas marcas ficaram inoperantes, tendo o das Americanas retornado à operação por volta de 13h segundo alguns usuários, e o do Submarino voultou à operação logo a seguir. Apesar disso ainda era possível notar um retardo incomum nas respostas dos dois sites. A Americanas declarou os sites 100% operacionais a partir das 15h16 de hoje.
Curiosamente, a maioria das vítimas do grupo Lapsus – incluindo as empresas atacadas hoje – hospeda seus servidores na Amazon, com exceção dos Correios, que fazem hospedagem na Algar Telecom. Sabe-se que as equipes de TI e segurança das Americanas estiveram resolvendo o problema para subir novamente os servidores. Na opinião do especialista Luiz Henrique Machado Mello o ataque foi feito por meio de sequestro de DNS.
O seqüestro de DNS (Domain Name Server), também chamado de redirecionamento de DNS, é um tipo de ataque de DNS no qual as consultas de DNS são resolvidas incorretamente para redirecionar os usuários para sites de interesse dos atacantes. Para realizar o ataque, os cibercriminosos instalam malware nos computadores dos usuários, assumem o controle de roteadores ou interceptam e hackeiam a comunicação DNS.
Às 14h45 de hoje o CISO Advisor recebeu das Americanas o seguinte comunicado sobre o assunto: “A Americanas informa que suspendeu preventivamente parte dos servidores do ambiente de e-commerce na madrugada deste sábado (19/02), assim que identificou risco de acesso não autorizado. As equipes atuam para normalizar os ambientes de e-commerce, de acordo com seus protocolos de segurança. Não há evidência de comprometimento das bases de dados. As lojas físicas não tiveram suas atividades interrompidas e continuam abertas e operando normalmente.”
O grupo que anunciou o ataque – sem assumir explicitamente a responsabilidade – atacou não só o Ministério da Saúde, como os Correios, a Claro, a Localiza e a empresa de mídia Impresa (em Portugal), além de ter se manifestado no dia do ataque à Vodafone Portugal com a palavra “Vodafone”, sem novamente assumir a autoria do ataque. Segundo o CEO da empresa o ataque foi destruidor.”
Para acessar a matéria diretamente no site da CISO basta clicar aqui
