0
0
A Carnival Corporation, maior operadora de linha de cruzeiros do mundo, confirmou que as informações pessoais de clientes, funcionários e tripulações de navios foram roubadas durante um ataque de ransomware em agosto.
O Carnaval está incluído nos índices S&P 500 e FTSE 100 e tem mais de 150.000 funcionários de cerca de 150 países e mais de 13 milhões de hóspedes a cada ano.
A empresa opera nove marcas de linha de cruzeiros (Carnival Cruise Line, Costa, P&O Australia, P&O Cruises, Princess Cruises, Holland American Line, AIDA, Cunard, Seabourn) e uma empresa de turismo de viagens (Holland America Princess Alaska Tours).
O ataque de ransomware a que o Carnaval se refere ocorreu em 15 de agosto de 2020, e foi divulgado através de um formulário de 8 K arquivado na Securities and Exchange Commission (SEC) dois dias depois, em 17 de agosto.
Na época, a empresa disse que apenas uma de suas marcas foi afetada no incidente do ransomware e que esperava que “o evento de segurança incluísse acesso não autorizado a dados pessoais de convidados e funcionários”.
Roubo de dados confirmado no arquivamento da SEC
Em um formulário de 10 Q apresentado à SEC ontem, Carnival confirmou que a gangue de ransomware desconhecida foi capaz de obter acesso a informações pessoais de clientes e funcionários durante o ataque.
A descoberta foi feita durante uma investigação liderada por uma grande empresa de cibersegurança contratada pela Carnival após o incidente de 15 de agosto. A empresa também notificou os reguladores de dados e as agências de aplicação da lei relevantes.
“Enquanto a investigação está em andamento, as primeiras indicações são de que o terceiro não autorizado teve acesso a certas informações pessoais relacionadas a alguns convidados, funcionários e tripulantes para algumas de nossas operações”, disse Carnival. “No momento, não há indícios de qualquer uso indevido dessas informações.”
“Embora neste momento não acreditemos que essas informações serão mal utilizadas daqui para frente ou que este incidente terá um efeito adverso material em nossos negócios, operações ou resultados financeiros, nenhuma garantia pode ser dada, e além disso, podemos estar sujeitos a futuros ataques ou incidentes que possam ter um efeito adverso tão material”, acrescentou Carnival.
Embora o arquivamento não nomeie a variedade de ransomware usada para criptografar sistemas, o BleepingComputer sabe de mais de 22 operações diferentes de ransomware que roubam e vazam documentos e informações confidenciais como parte de seus ataques.
Quando contatado pela BleepingComputer em agosto, Carnival disse que eles “não estão planejando discutir nada além do arquivamento de 8K neste momento, já que está no início do processo de investigação”.
Servidores vulneráveis do Carnaval Citrix e Palo Alto
A empresa de inteligência de segurança cibernética Bad Packets descobriu vários pontos potenciais de compromisso inicial que os atacantes de ransomware podem ter usado como ponto de entrada na rede do Carnaval.
Vários dispositivos Citrix ADC (NetScaler) e firewalls Palo Alto Networks foram considerados vulneráveis às explorações CVE-2019-19781 (corrigidas em janeiro de 2020) e CVE-2020-2021 (corrigidas no final de junho de 2020), respectivamente.
Ambas as vulnerabilidades podem ser usadas por gangues de ransomware como trampolim para invadir uma rede corporativa, permitindo que elas se movam lateralmente e coletando credenciais necessárias para assumir contas de administração e o controlador de domínio do Windows.
Embora o Carnaval não tenha revelado se algum desses servidores foi comprometido durante o incidente de agosto de 2020, as gangues de ransomware estão regularmente procurando e explorando tais dispositivos vulneráveis em seus ataques.
O ataque de ransomware ocorreu após uma violação de dados anunciada em março de 2020 que levou à exposição de informações pessoais e financeiras dos clientes depois que um ator de ameaça desconhecido teve acesso a contas de e-mail de funcionários.
FONTE: BLEEPING COMPUTER