# TOTVS - BlackByte Ransomware (Setembro 2024) > [!danger] ERP da Maioria das Grandes Empresas Brasileiras sob Ataque > Em setembro de 2024, o grupo [[s1180-blackbyte-ransomware]] comprometeu a **TOTVS** - maior empresa brasileira de software ERP, com mais de **50.000 clientes em 40+ setores** (financeiro, governo, saúde, manufatura, varejo). A TOTVS processa dados de folha de pagamento, contabilidade, RH e operações para uma parcela significativa das maiores organizacoes do Brasil. O comprometimento levantou alarmes sobre risco sistemico: uma empresa de software com acesso privilegiado a dados de dezenas de milhares de empresas e um alvo de altissimo valor para ataques supply chain. O [[cert-br]] e a [[anpd]] foram notificados imediatamente. --- ## Attack Flow ```mermaid graph TB A["🔓 Acesso Inicial<br/>Vetor nao completamente divulgado<br/>Credenciais VPN ou phishing direcionado"] --> B["🔍 Reconhecimento de 2+ Semanas<br/>Mapeamento de repositorios criticos<br/>Identificação de dados de clientes"] B --> C["⬆️ Escalada de Privilegios<br/>Acesso a Active Directory<br/>Credenciais de administrador de dominio"] C --> D["💾 Exfiltração de Dados<br/>Dados proprietary e de clientes<br/>Documentos internos e códigos"] D --> E["🔐 BlackByte Ransomware Deploy<br/>Criptografia de sistemas internos<br/>Nota de resgaté publicada"] E --> F["📢 BlackByte Publica Amostra<br/>Site de vazamento com dados<br/>Deadline para pagamento"] F --> G["🔔 Impacto em Cadeia<br/>Clientes TOTVS notificados<br/>ANPD e CERT.br acionados"] ``` --- ## Por que a TOTVS e um Alvo Sistemico A TOTVS nao e apenas uma empresa - e infraestrutura digital do ecossistema empresarial brasileiro. Seus produtos (TOTVS Fluig, Protheus, Datasul, RM) estao instalados em: - **Governo**: prefeituras, estados, orgaos federais - **Financeiro**: bancos, seguradoras, fintechs - **Saúde**: hospitais, laboratorios, operadoras - **Manufatura**: industrias de grande porte - **Varejo**: grandes redes de comercio - **Agronegocio**: cooperativas e trading companies Um comprometimento da TOTVS cria risco em duas camadas: 1. **Dados proprios**: informações de clientes nos sistemas TOTVS (SaaS e cloud) 2. **Canal de distribuição**: potencial vetor de ataques supply chain via updates ou acceso remoto de suporte tecnico --- ## O BlackByte: Herdeiro do Conti O [[s1180-blackbyte-ransomware]] emergiu em 2021-2022 como um dos grupos derivados do [[s0575-conti-ransomware]] após os [[2022-02-conti-leaks]]. O grupo tem como caracteristicas: - Uso de **vulnerabilidades conhecidas** em ESXi e VPNs para acesso inicial - Modelo de dupla extorsao (criptografia + vazamento) - Site de vazamento com contagem regressiva - Foco em **empresas de medio a grande porte** em multiplos setores - Atuacao específica em **America Latina** como parte de expansao regional O FBI e CISA publicaram aviso conjunto (AA23-061A) sobre o BlackByte específicamente alertando sobre ataques a infraestrutura critica - incluindo alvos sul-americanos. --- ## Resposta da TOTVS e Impacto A TOTVS respondeu com contenimento imediato de sistemas afetados, notificação de clientes potencialmente impactados e contratacao de empresa de IR forense. A empresa seguiu as obrigações da [[lgpd]] de notificação a [[anpd]] dentro do prazo legal. O impacto operacional para clientes foi variavel: - Clientes **on-premise** com instalacoes locais - menos expostos - Clientes **cloud/SaaS** - avaliacao de exposicao em andamento - Clientes com **acesso remoto de suporte** ativo - risco elevado de exposicao lateral O incidente acelerou debaté no setor de TI brasileiro sobre **segurança da cadeia de suprimentos de software** e obrigações dos vendors de ERP quanto a segurança dos dados de clientes. --- ## Contexto: Ransomware e o Ecossistema ERP Ataques a vendors de software ERP sao particularmente impactantes por algumas razoes: 1. **Acesso privilegiado**: suporte tecnico de ERP frequentemente tem acesso administrativo remoto as instalacoes dos clientes 2. **Dados financeiros criticos**: ERP centraliza folha de pagamento, contabilidade e dados regulatorios 3. **Interdependencias**: uma empresa afetada pode impactar fornecedores e clientes na mesma cadeia 4. **Conformidade regulatoria**: dados LGPD, BACEN e CVM frequentemente transitam por ERPs --- ## Impacto para a Comunidade CTI Brasileira Este foi um dos ataques de maior impacto em termos de **risco sistemico** para o Brasil em 2024. O caso impulsionou: - **CERT.br**: públicacao de guia de segurança para usuarios TOTVS - **ANPD**: investigação de conformidade LGPD - **FEBRABAN**: orientacoes a bancos sobre vendedores de software com acesso privilegiado - **Debaté legislativo**: proposta de obrigações de segurança para vendors de software critico O incidente se soma ao contexto de [[2025-q4-ransomware-brasil]] - mostrando que o Brasil tornou-se alvo prioritario do ecossistema de ransomware global. --- ## Cronologia do Incidente | Data | Evento | |------|--------| | Ago 2024 | Acesso inicial (data estimada) | | Set 2024 | Ransomware executado - TOTVS confirma incidente | | Set 2024 | BlackByte publica amostra no site de vazamento | | Set 2024 | TOTVS notifica ANPD conforme LGPD | | Out 2024 | CERT.br publica alerta sobre BlackByte | | 2024-2025 | Investigação forense em andamento | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Threat Actor | [[s1180-blackbyte-ransomware]] | | Origem | [[s0575-conti-ransomware]] - grupo derivado pos-leaks | | Evento | [[2022-02-conti-leaks]] - dispersao do Conti | | Regulação | [[lgpd]] - Lei Geral de Proteção de Dados | | Autoridade | [[anpd]] - Autoridade Nacional de Proteção de Dados | | Técnica MITRE | [[t1486-data-encrypted-for-impact]] | | Técnica MITRE | [[t1195-supply-chain-compromise]] - risco downstream | | Contexto BR | [[2025-q4-ransomware-brasil]] - onda de ataques ao Brasil | | Setor | [[technology]] - software enterprise | --- > [!info] Navegacao - Eventos Relacionados > [[2022-02-conti-leaks]] | [[2024-02-change-healthcare]] | [[2025-q4-ransomware-brasil]] | [[_timeline]]