Segundo apurado pela SEK, alguns clientes da TOTVS estão recebendo e-mails que parecem ter sido enviados pelo ator de ameaça por trás do suposto vazamento sofrido pela empresa nesta semana.
Ainda não temos confirmação de como esses e-mails estão chegando aos clientes. Uma hipótese é de que o atacante esteja se aproveitando de uma regra de redirecionamento pré-existente, ou que tenha, de alguma maneira, criado uma regra para tal. De qualquer maneira, este é mais um método de intimidação e extorsão que o ator de ameaça está utilizando contra a TOTVS, e seus parceiros e clientes devem estar cientes disso.
O domínio utilizado pelos atacantes foi o onlinevirtualdebt[.]de. Ele já foi adicionado em nosso MISP e em listas de bloqueio que gerenciamos. No entanto, é altamente provável que outros domínios também sejam utilizados.
Tendo isso em vista, a SEK faz as seguintes recomendações a clientes que sejam parceiros da TOTVS:
• Não interagir com os e-mails suspeitos, e reportá-los imediatamente à equipe de segurança.
• Troca de senhas de colaboradores da TOTVS com acesso ao ambiente interno da organização: Forçar imediatamente a alteração de senhas de todos os colaboradores da TOTVS que possuam qualquer nível de acesso ao ambiente interno da sua organização, garantindo que credenciais potencialmente comprometidas sejam neutralizadas.
• Troca de senhas de colaboradores e contas de serviço com acesso à TOTVS: Orientar seus colaboradores que possuem acesso a ambientes da TOTVS a trocarem suas senhas de forma imediata. Isso inclui senhas de contas pessoais de colaboradores que acessam qualquer sistema ou plataforma da TOTVS, e senhas de contas de serviço, aplicações e integrações que se conectam aos ambientes da TOTVS.
• Realizar ações de conscientização reforçadas com colaboradores que possuem maior acesso e/ou interação com a TOTVS – e, consequentemente, podem ser alvos de ataques de engenharia social e afins.
A SEK seguirá acompanhando o caso de perto e mantendo nossos clientes e parceiros informados e seguros.