Um grupo de Hackers Lapsus, no início de dezembro de 2021 atacou o Ministério da Saúde, anunciou na madrugada do dia 20/02 um ataque às redes das cadeias de varejo Americanas e Submarino. A mensagem foi publicada em inglês no canal de Telegram dos atacantes dizia “Acho que os sites de compras da B2W Americanas e Submarino estão com problemas kkkkk”. Teve momentos que o site do Submarino estava redirecionando usuários para um site pornográfico segundo um leitor do CISO Advisor. Os sites de comércio eletrônico das duas marcas ficaram inoperantes, tendo o das Americanas retornado à operação por volta de 13 horas segundo alguns usuários, e o do Submarino voltou à operação logo em seguida. A Americanas declarou que seu site já está operando 100%.
Uma Curiosidade, é que a maioria das vítimas do grupo Lapsus, incluindo as empresas atacadas hoje, hospeda seus servidores na Amazon, com exceção dos Correios, que fazem a hospedagem na Algar Telecom. Sabe-se que as equipes de TI e segurança das Americanas estiveram resolvendo o problema para subir novamente os servidores. O especialista Luiz Henrique Machado Mello deu sua opinião, dizendo que, o ataque foi feito por meio de sequestro de DNS.
Para poder realizar o ataque, os cibercriminosos precisam instalar malware nos computadores dos usuários, e assim, assumirem o controle de roteadores ou interceptam e hackear a comunicação DNS.
O CISO Advisor recebeu um comunicado das Americanas sobre o assunto: “A Americanas informa que suspendeu preventivamente parte dos servidores do ambiente de e-commerce na madrugada deste sábado , assim que identificou risco de acesso não autorizado. As equipes atuam para normalizar os ambientes de e-commerce, de acordo com seus protocolos de segurança. Não há evidência de comprometimento das bases de dados. As lojas físicas não tiveram suas atividades interrompidas e continuam abertas e operando normalmente”.
O grupo anunciou o ataque sem assumir explicitamente a responsabilidade que atacou não só o Ministério da Saúde, como os Correios, a Claro, a Localiza e a empresa de mídia Impresa, além de ter se manifestado no dia do ataque à Vodafone Portugal com a palavra “Vodafone”, sem novamente assumir a autoria do ataque.