300 bancos na Índia derrubados em incidente de ransomware

Um ataque de ransomware atingiu a empresa C-Edge Technologies, responsável pelo backoffice de aproximadamente 300 bancos na Índia, segundo informou nesta manhã a empresa de segurança CloudSEK, que está operando na resposta ao incidente. A C-Edge é uma joint venture do State Bank of India (SBI) e da Tata Consultancy Services (TCS). Seus principais clientes são os bancos indianos nos setores cooperativos e regionais. Segundo relatório da CloudSEK, a contaminação ocorreu por meio de um parceiro chamado Brontoo Technology Solutions.

A Índia tem uma rede extensa de cerca de 1.500 bancos cooperativos e regionais que atendem principalmente clientes em áreas rurais e semi-urbanas. Apesar de seus números, eles respondem por apenas cerca de 0,5% dos volumes do sistema de pagamento do país, minimizando o impacto geral do ataque. De acordo com o relatório apresentado pela Brontoo à CERTIn (Indian Computer Emergency Response Team), a cadeia de ataque começou em um servidor Jenkins mal configurado. A equipe de pesquisa de ameaças da CloudSEK conseguiu identificar o servidor Jenkins afetado e, a seguir, a cadeia de ataque.

Neste momento, o sites da C-Edge está fora do ar. Por meio da investigação, a CloudSEK determinou que o grupo de ransomware responsável pelo ataque foi o RansomEXX.

Em resposta ao ataque, a National Payments Corporation of India (NCPI) — a entidade que opera sistemas de pagamentos e liquidação de varejo na Índia — encerrou as operações de pagamento dos bancos afetados e está atualmente revisando a situação. Além disso, ela isolou temporariamente a C-Edge Technologies do acesso aos sistemas de pagamento de varejo. Os clientes de bancos atendidos pela C-Edge não poderão acessar os sistemas de pagamento durante o período de isolamento.