Pelo menos a partir das 13h de ontem, 4 de novembro, o site das Lojas Marisa começou a apresentar instabilidades, conforme relatado por consumidores nas redes sociais, especialmente no X/Twitter. Em resposta, a equipe da loja postou: "Oi, tudo bem? Estamos enfrentando uma instabilidade temporária em nossos sistemas, o que pode afetar alguns serviços. Nossa equipe já está trabalhando para resolver. Agradecemos sua compreensão e pedimos desculpas pelo ocorrido!" Contudo, até o momento da redação deste artigo, o site continua fora do ar.

Na tarde de hoje, a Lojas Marisa divulgou uma nota ao Ciso Advisor confirmando que foi vítima de um ataque cibernético do tipo ransomware. A empresa adotou medidas de segurança e controle adequadas para minimizar os impactos e restabelecer a normalidade operacional, incluindo o isolamento e suspensão temporária de alguns sistemas para proteger suas informações. As operações das lojas físicas sofreram um impacto momentâneo, mas já foram retomadas. A companhia afirma estar realizando uma avaliação completa do incidente para entender sua extensão e determinar se serão necessárias medidas adicionais. Até agora, a Marisa garante que a ameaça está sob controle e não se espera grandes impactos nas operações e sistemas da empresa.

Nesse contexto, surgiram informações entre profissionais de segurança que sugerem que a rede da Lojas Marisa foi atacada pelo grupo responsável pelo ransomware Medusa. Imagens da notificação de resgate deste grupo estão circulando em fóruns especializados, evidenciando o envolvimento da marca. O grupo Medusa ganhou notoriedade em 2023 ao lançar um site de vazamentos na dark web e utiliza plataformas como Telegram e X/Twitter para divulgar suas ameaças. Os ataques orquestrados por esse grupo geralmente começam com a exploração de vulnerabilidades em ativos expostos na Internet e o sequestro de contas legítimas, frequentemente utilizando corretores de acesso inicial.

Um dos pontos críticos das infecções causadas por esse grupo é a utilização de técnicas conhecidas como living-off-the-land (LotL), que se referem ao uso de ferramentas já instaladas no sistema alvo para evitar a detecção e continuar realizando atividades maliciosas. Além disso, relata-se que são usados drivers de kernel para desativar softwares de segurança.

Após conseguirem acesso inicial, os atacantes realizam um mapeamento da rede comprometida e, subsequente a isso, lançam o ransomware para criptografar arquivos, exceto aqueles com extensões específicas como .dll, .exe e .lnk, além de arquivos rotulados com a extensão .medusa.

A Lojas Marisa é reconhecida como a maior rede de moda feminina e lingerie do Brasil, e também uma das principais no setor de vestuário masculino e infantil, operando no mercado há 70 anos. Esse incidente levanta preocupações sobre a segurança digital na indústria do varejo, especialmente com o aumento da frequência de ataques cibernéticos em grandes empresas. Fique atento para mais atualizações sobre a situação e como a Marisa se recuperará desse incidente chocante.