- O grupo ShinyHunters afirma ter comprometido cerca de 300 ambientes Oracle PeopleSoft em mais de 100 organizações, incluindo universidades.
- Os ataques combinam vulnerabilidades antigas com falhas ainda desconhecidas publicamente (zero-days); o sucesso depende da configuração de cada servidor.
- Vítimas passaram a receber pedidos de resgate; a Universidade de Nottingham confirmou ter sofrido um incidente de segurança.
- Pesquisadores localizaram ferramentas usadas pelos invasores, como MeshCentral, scripts de espalhamento e um script específico para ambientes PeopleSoft, além de um portal de divulgação de dados.
- Recomendações: revisar registros de acesso, monitorar endereços IP vinculados à campanha, iniciar resposta a incidentes e isolar, se necessário, os servidores afetados.
Ontem, pesquisadores identificaram uma campanha de invasão direcionada a servidores Oracle PeopleSoft, atribuída ao grupo de extorsão ShinyHunters. As ações teriam atingido mais de 100 organizações, em cerca de 300 ambientes diferentes, com pedidos de resgate em curso. A Oracle não respondeu aos pedidos de nota oficial.
Universidades e instituições de ensino figuram entre as principais vítimas, de acordo com relatos de pesquisadores. Entre os alvos, haveria casos confirmados pela Universidade de Nottingham. Os invasores afirmam ter tentado comprometer também um portal do FBI vinculado ao PeopleSoft, sem confirmação de sucesso.
Detalhes da operação
Relatos de pesquisa indicam que ataques atingem ambientes na nuvem e on premise, com diretores expostos em diretórios públicos. Ferramentas de administração remota e scripts de espalhamento foram identificados em análises de dados acessados pela imprensa especializada.
Os investigadores encontraram evidências de uso de zero-days, além de vulnerabilidades antigas. O grupo afirma que o sucesso depende da configuração de cada servidor PeopleSoft, sugerindo variações na exposição entre organizações.
Como a operação é conduzida
Arquivos e notas de resgate foram localizados em diretórios ligados a ambientes PeopleSoft. Um README com tom de alerta é utilizado para comunicar a infiltração aos administradores. O ataque envolve a busca por credenciais armazenadas em configurações internas.
Pesquisadores também identificaram um portal utilizado pelo grupo para divulgar dados supostamente obtidos. O material disponível já exibia informações de dezenas de vítimas, antes de o ataque ganhar notoriedade.
Medidas de proteção
Especialistas orientam revisar logs de acesso ao PeopleSoft e filtrar conexões de origem associadas à campanha. Em caso de comprometimento, recomendam iniciar resposta a incidentes e, se necessário, isolamento temporário dos servidores afetados.
Organizações devem verificar autenticações, investigar atividades incomuns e manter backups atualizados. Acompanharemos novas informações à medida que fontes oficiais divulgarem atualizações.
Entre na conversa da comunidade