Em fevereiro 1, 2024, apareceu uma postagem em um fórum de hackers Darknet vendendo dados da Hewlett Packard Enterprise. O ator de ameaças conhecido como IntelBroker afirma ter invadido a rede da empresa e obtido muitos dados, incluindo tokens de acesso e senhas. A própria empresa reconhece a violação, mas não pode confirmar se nenhum incidente de segurança cibernética aconteceu recentemente.
Hewlett Packard Enterprise hackeada
Uma postagem no infame BreachForums publicada em fevereiro 1 oferece a compra de um extenso banco de dados, vazou da Hewlett Packard Enterprise (HPE) Rede interna. O vendedor, conhecido pelo nome IntelBroker, alega ter invadido a rede e obtido os referidos dados. Isso significa que a empresa sofreu uma nova violação de segurança, ou o hacker estava presente na rede há algum tempo.
Como geralmente acontece com postagens do fórum Darknet oferecendo-se para comprar informações vazadas, existem várias capturas de tela anexadas como prova. Entre os tipos de dados vazados, hacker reivindica acesso CI/CD, registros do sistema, arquivos de configuração, fichas de acesso, Arquivos HPE StoreOnce e senhas de acesso. Embora seja representativo dos tipos de dados reivindicados no vazamento, as capturas de tela não incluem nenhum dado que permita identificar o período de tempo, por exemplo. não há como encontrar quantos anos tem essa violação.
Como mencionei na introdução, HPE tem conhecimento dos dados postados no fórum e investiga o caso. Ao mesmo tempo, representantes da empresa não têm nenhuma evidência de ataque cibernético ou violação de segurança na última vez.
Vazamento de dados, Mas sem ransomware
O fato de o ataque que vazou grandes quantidades de dados poder parecer absurdo, considerando que normalmente há uma implantação de ransomware que finaliza o ataque. No entanto, tal abordagem não é nova: adversários podem praticar ataques somente de vazamento para acelerar o processo geral ou evitar possível detecção. Em alguns casos, isso funciona como uma forma de obter pelo menos alguma coisa do ataque, quando a segurança consegue bloquear malware.
Ainda, há uma parte positiva nesta história – nenhum dado do cliente parece estar envolvido. Tanto o que é reivindicado quanto o que aparece nas capturas de tela são dados puramente internos. E isso é bom não apenas para os clientes da HPE, já que a própria empresa tem muito menos dor de cabeça notificando aqueles cujos dados foram vazados.
Qualquer relação com violação de contas de e-mail corporativo da HPE?
Apesar do representante da empresa dizer que nenhum ataque cibernético foi detectado, aparentemente havia alguém que pode ser o culpado. De volta em meados de janeiro 2024, A HPE informou que suas contas de e-mail corporativo foram hackeados pelo APT29, um ator de ameaça relacionado ao SVR russo. A violação em si ocorreu em maio 2023, com o fato do adversário ter acesso ao meio ambiente reconhecido em dezembro 12, 2023.
Por que esses dados podem ser provenientes dessa violação antiga? A nota oficial da empresa sobre o caso menciona a selection of data categories, que corresponde ao que vemos na postagem do BreachForums. Mais especificamente, a empresa falou sobre hackers acessando diversas caixas de correio de funcionários de sua segurança cibernética, ir ao mercado, segmento de negócios e vários outros. Histórico, configurações e tokens de acesso são uma ocorrência normal nesses e-mails, embora também pudesse ter havido acesso aos dados do cliente. Apesar disso, isso não será uma grande surpresa se a investigação em andamento levar ao último hack do APT29.
