Гигант в области обслуживания клиентов TTEC пострадал от Ransomware

КомпанияTTEC, [NASDAQ: TTEC], используемая некоторыми крупнейшими мировыми брендами для управления поддержкой клиентов и продажами в Интернете и по телефону, работает с перебоями из-за инцидента с сетевой безопасностью в результате атаки ransomware, стало известно KrebsOnSecurity.

В то время как многие компании увольняли или сокращали работников в связи с пандемией коронавируса, TTEC массово нанимала сотрудников. Бывшая компания TeleTech Holdings Inc., базирующаяся в Энглвуде, штат Калифорния, сейчас насчитывает около 60 000 сотрудников, большинство из которых работают на дому и отвечают на звонки клиентов от имени большого количества известных компаний, таких как Bank of America, Best Buy, Credit Karma, Dish Network, Kaiser Permanente, USAA и Verizon.

14 сентября KrebsOnSecurity получил информацию от читателя, который передал внутреннее сообщение, отправленное, по всей видимости, компанией TTEC некоторым сотрудникам, о состоянии широкомасштабного сбоя в системе, начавшегося в воскресенье, 12 сентября.

“Мы продолжаем устранять неполадки в системе, влияющие на доступ к сети, приложениям и поддержке клиентов”, – говорится во внутреннем сообщении, разосланном компанией ТТЭК некоторым сотрудникам.

Компания TTEC не ответила на просьбы о комментарии. Телефонный звонок по контактному номеру для СМИ, указанному в релизе о доходах ТТЭК за август 2021 года, дал сообщение о том, что это нерабочий номер.

[Обновление, 18:20: ТТЭК подтвердила факт атаки с использованием вымогательского ПО. Их заявление см. в обновлении в конце этого материала]

Собственное сообщение TTEC для сотрудников предполагает, что сеть компании могла быть поражена группой вымогателей “Ragnar Locker” (или конкурирующей группой вымогателей, выдающей себя за Ragnar). Сообщение призывало сотрудников не нажимать на файл, который внезапно мог появиться в стартовом меню Windows под названием “!RA!G!N!A!R!”.

“НЕ нажимайте на этот файл”, – гласило уведомление. “Это файл с надоедливым сообщением, и мы работаем над его удалением из наших систем”.

Ragnar Locker – это агрессивная группа ransomware, которая обычно требует криптовалюту на миллионы долларов в качестве выкупа. В сообщении, опубликованном на этой неделе на сайте утечки информации в даркнете, группа угрожала опубликовать полные данные жертв, обратившихся за помощью в правоохранительные и следственные органы после атаки ransomware.

Одно из сообщений, отправленных сотрудникам ТТЭК, содержало ссылку на линию видеоконференции Zoom по адресу ttec.zoom.us. Нажатие на эту ссылку открывало сеанс Zoom, в котором несколько сотрудников ТТЕК, делясь своими экранами, по очереди использовали Global Service Desk, внутреннюю систему ТТЕК для отслеживания заявок на поддержку клиентов.

Судя по всему, сотрудники ТТЕК использовали конференц-связь Zoom, чтобы сообщить о состоянии различных групп поддержки клиентов, большинство из которых в данный момент сообщают, что “не могут работать”.

Например, служба технической поддержки ТТЭК сообщает, что сотни сотрудников ТТЭК, назначенных для работы с предоплаченными услугами Bank of America, не могут работать, потому что не могут удаленно подключиться к инструментам обслуживания клиентов ТТЭК. Более 1 000 сотрудников ТТЕК в настоящее время не могут выполнять свою обычную работу по поддержке клиентов Verizon, согласно данным Service Desk. Сотни сотрудников, которым поручено обрабатывать звонки для Kaiser Permanente, также не могут работать.

“Всю неделю они хранили радиомолчание, за исключением уведомлений о том, что сотрудники должны взять еще один выходной”, – сказал источник, передавший сообщения TTEC, который беседовал с KrebsOnSecurity на условиях анонимности. “Насколько я знаю, у всех сотрудников низшего звена сегодня еще один выходной”.

Масштабы и серьезность инцидента в ТТЭК остаются неизвестными. Обычно компании отключают критически важные системы в случае вторжения в сеть в рамках более широких усилий по предотвращению распространения вредоносных программ в других местах. Иногда отключение всех систем действительно помогает, или, по крайней мере, помогает предотвратить распространение атаки на партнерские сети. Но именно эти связи с компаниями-партнерами вызывают беспокойство в случае продолжающегося сбоя в работе TTEC.

Тем временем, если вам не повезет, и вам придется сегодня звонить в службу поддержки, есть большая вероятность, что вы столкнетесь с более длительным, чем обычно, временем ожидания.

Это развивающаяся история. Дальнейшие подробности или обновления будут отмечаться здесь с указанием даты и времени.

Обновление, 17:37 по восточному времени: ТТЕК ответила следующим заявлением:

Компания ТТЕК уделяет большое внимание кибербезопасности и защите целостности систем и данных наших клиентов. Недавно нам стало известно об инциденте, связанном с кибербезопасностью, который затронул некоторые системы ТТЕК. Хотя в результате инцидента некоторые наши данные были зашифрованы, а деловая активность на нескольких объектах была временно нарушена, компания продолжает обслуживать своих глобальных клиентов. TTEC немедленно активировала свои протоколы обеспечения непрерывности бизнеса по реагированию на инциденты информационной безопасности, изолировала задействованные системы и приняла другие необходимые меры для локализации инцидента. В настоящее время мы тщательно и целенаправленно восстанавливаем затронутые системы.

Мы также начали расследование, типичное в данных обстоятельствах, чтобы определить потенциальные последствия. При обслуживании наших клиентов TTEC, как правило, не хранит данные наших клиентов, и расследование на сегодняшний день не выявило компрометации данных клиентов. Расследование продолжается, и мы предпримем дополнительные действия, если это будет необходимо, в зависимости от результатов расследования. Это вся информация, которой мы можем поделиться до завершения расследования.

Оставьте комментарий