Malwarebytes, um desenvolvedor norte-americano de soluções de segurança da informação, é a mais recente vítima confirmada do ataque massivo à cadeia de suprimentos da SolarWinds. De acordo com a empresa, a Microsoft identificou “atividade suspeita” no Office 365 da Malwarebytes, que inclui acesso a e-mails internos.
De acordo com o Malwarebytes, a Microsoft alertou a empresa sobre a atividade suspeita de um aplicativo de terceiros no Microsoft Office 365 de Malwarebytes em 15 de dezembro do ano passado.
Após a notificação, a empresa, em parceria com a Microsoft, começou a investigar o caso. “Conduzimos uma extensa investigação de nossos ambientes e locais de nuvem para qualquer atividade relacionada às chamadas de API que acionaram o alerta inicial”, escreve Marcin Kleczynski, CEO da empresa.
A investigação do Malwarebytes descobriu que seus emails foram comprometidos por cibercriminosos com um alto grau de acesso privilegiado às infraestruturas do Office 365 e do Azure Active Directory. “A investigação indica que os invasores se aproveitaram de um produto de proteção de e-mail inativo em nosso locatário do Office 365 que permitiu o acesso a um subconjunto limitado de e-mails internos da empresa”, continua.
Disclosure Malwarebytes.
Ramificação de ataque
Malwarebytes argumenta que a invasão não está relacionada ao ataque à cadeia de suprimentos da SolarWinds, já que a empresa não usa nenhum produto ou solução da SolarWinds. No entanto, o ataque está indiretamente relacionado, já que a Microsoft foi uma das vítimas diretas do ataque ao SolarWinds.
“Embora a Malwarebytes não use SolarWinds, nós, como muitas outras empresas, fomos recentemente alvo do mesmo ator de ameaça […] Não usamos serviços de nuvem Azure em nossos ambientes de produção”, justifica o CEO.
Ou seja, os cibercriminosos (possivelmente vinculados ao governo russo) atacaram a cadeia de suprimentos da SolarWinds e, assim, obtiveram acesso ao código-fonte do Microsoft Office 365. Com o Office 365 em mãos, eles atacaram clientes da ferramenta, como é o caso do Malwarebytes.
O ataque é muito semelhante à invasão de milhares de e-mails internos do Departamento de Justiça dos Estados Unidos (DoJ), que também teve seus e-mails comprometidos depois que cibercriminosos obtiveram acesso aos sistemas Office 365.
Malwarebytes garante que seus produtos e serviços não foram afetados. “Nossos sistemas internos não mostraram evidências de acesso não autorizado ou comprometimento em qualquer ambiente local e de produção. Nosso software permanece seguro para uso ”, explica Kleczynski.
Fontes: Malwarebytes; The Hacker News.
