Servidores do Oracle PeopleSoft estão sendo alvo de uma campanha de roubo de dados atribuída ao grupo de extorsão ShinyHunters. Os ataques foram identificados nesta semana após organizações afetadas começarem a receber pedidos de resgate. Segundo os criminosos, mais de 100 empresas e instituições tiveram informações comprometidas em cerca de 300 ambientes diferentes. O TecMundo procurou a Oracle para mais detalhes sobre o ocorrido mas a empresa não quis se pronunciar.
O PeopleSoft é uma plataforma corporativa usada por grandes organizações para administrar áreas como recursos humanos, folha de pagamento, finanças, compras, cadeia de suprimentos e gestão acadêmica. Por concentrar grandes volumes de informações sensíveis, o sistema costuma ser um alvo valioso para criminosos.
smart_display
Nossos vídeos em destaque
Criminosos usam vulnerabilidades antigas e falhas desconhecidas
De acordo com relatos obtidos pelo BleepingComputer, os ataques atingem tanto instalações hospedadas na nuvem quanto servidores mantidos dentro das próprias organizações. As vítimas passaram a receber mensagens de extorsão assinadas pelo grupo ShinyHunters, conhecido por envolvimento em vazamentos de dados de grande porte.
Os próprios criminosos confirmaram a autoria da campanha e afirmaram ter roubado informações de mais de 100 organizações. Segundo eles, o ataque utiliza uma combinação de vulnerabilidades antigas e falhas ainda desconhecidas publicamente, conhecidas como zero-days.
O grupo afirma que a técnica não funciona em todos os ambientes. O sucesso da invasão dependeria da forma como cada servidor PeopleSoft foi configurado. Isso indica que algumas organizações podem estar mais expostas do que outras, mesmo utilizando a mesma plataforma.
Universidades estão entre os principais alvos da campanha
O setor mais afetado é o de educação. Os criminosos alegam que várias universidades e instituições de ensino estão entre as vítimas. Um dos casos citados foi o da Universidade de Nottingham, que confirmou ter sofrido um incidente de segurança cibernética.
Os invasores afirmaram que chegaram a tentar comprometer um portal do FBI baseado em PeopleSoft. O objetivo, segundo eles, seria publicar uma mensagem na plataforma. A tentativa, porém, não teria sido bem-sucedida.
)
Pesquisadores encontraram ferramentas usadas nos ataques
Pesquisadores independentes começaram a encontrar indícios da operação na internet. O pesquisador conhecido como Michael R identificou diretórios expostos contendo ferramentas e arquivos associados aos ataques.
Entre os materiais encontrados estavam agentes do MeshCentral, uma ferramenta de administração remota, além de scripts usados para espalhar mensagens nos servidores comprometidos e realizar tentativas automatizadas de acesso a contas.
Cinco servidores ligados à operação apresentavam históricos de comandos praticamente idênticos. Esses registros revelaram que os criminosos instalaram componentes do MeshCentral no final de maio e utilizaram uma infraestrutura associada anteriormente ao grupo ShinyHunters.
Os arquivos também mostraram a existência de um script criado especificamente para ambientes PeopleSoft. O programa analisa a infraestrutura interna da organização, identifica sistemas relacionados à plataforma e tenta acessar servidores usando contas administrativas comuns.
)
O que os registros encontrados revelam sobre a operação
Entre os nomes de usuário procurados pelo script estão contas frequentemente utilizadas por administradores do PeopleSoft e do Oracle. Caso a autenticação por senha falhe, a ferramenta tenta utilizar chaves de acesso configuradas nos servidores.
Após obter acesso, o código deposita uma nota de resgate em diretórios ligados aos servidores web e de aplicação do PeopleSoft. O arquivo possui o nome “README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT” e serve para informar que o ambiente foi comprometido.
)
Os registros analisados indicam que os responsáveis pelo ataque possuem conhecimento aprofundado da arquitetura do PeopleSoft. O script é capaz de localizar credenciais armazenadas em arquivos de configuração, mapear sistemas conectados e identificar diferentes componentes da infraestrutura.
Pesquisadores também encontraram um portal utilizado para divulgar dados roubados. No local já havia informações de mais de 20 organizações, incluindo algumas ainda não identificadas publicamente.
)
O que as organizações devem fazer para se proteger
Especialistas recomendam que organizações que utilizam Oracle PeopleSoft revisem imediatamente seus registros de acesso. A orientação é verificar conexões originadas dos endereços IP associados à campanha e investigar qualquer atividade suspeita.
Caso sejam encontrados sinais de comprometimento, a recomendação é iniciar um processo de resposta a incidentes o mais rápido possível. Também pode ser necessário retirar temporariamente os servidores afetados da internet até que a análise e a correção do ambiente sejam concluídas.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.
