El gigante TTEC de la atención al cliente se ve afectado por el ransomware: Krebs on Safety


TTEC, [NASDAQ: TTEC], una empresa utilizada por algunas de las marcas más grandes del mundo para ayudar a administrar la atención al cliente y las ventas en línea y por teléfono, está lidiando con las interrupciones de un incidente de seguridad de la red resultante de un ataque de ransomware, según ha aprendido KrebsOnSecurity.

Si bien muchas empresas han estado despidiendo o dando licencia a trabajadores en respuesta a la pandemia de coronavirus, TTEC ha sido contratación masiva. Anteriormente TeleTech Holdings Inc., TTEC, con sede en Englewood, Co., cuenta ahora con casi 60.000 empleados, la mayoría de los cuales trabajan desde casa y responden a las llamadas de atención al cliente en nombre de un gran número de empresas de marcas reconocidas, como Banco de The usa, La mejor compra, Crédito Karma, Dish Community, Kaiser Permanente, USAA y Verizon.

El 14 de septiembre, KrebsOnSecurity escuchó a un lector que transmitió un mensaje interno aparentemente enviado por TTEC a ciertos empleados sobre el estado de una interrupción generalizada del sistema que comenzó el domingo 12 de septiembre.

«Continuamos abordando la interrupción del sistema que afecta el acceso a la pink, las aplicaciones y el soporte al cliente», se lee en un mensaje interno enviado por TTEC a ciertos empleados.

TTEC no ha respondido a las solicitudes de comentarios. Una llamada telefónica realizada al número de contacto de los medios que figura en un comunicado de ganancias de TTEC de agosto de 2021 produjo un mensaje que decía que era un número que no funcionaba.

[Update, 6:20 p.m. ET: TTEC confirmed a ransomware attack. See the update at the end of this piece for their statement]

El propio mensaje de TTEC a los empleados sugiere que la pink de la empresa puede haber sido atacada por el grupo de ransomware «Ragnar Locker» (o por una banda rival de ransomware que se hace pasar por Ragnar). El mensaje instaba a los empleados a evitar hacer clic en un archivo que de repente pudo haber aparecido en su menú de inicio de Windows llamado «! RA! G! N! A! R!»

«NO haga clic en este archivo», decía el aviso. «Es un archivo de mensajes molestos y estamos trabajando para eliminarlo de nuestros sistemas».

Ragnar Locker es un grupo de ransomware agresivo que normalmente exige millones de dólares en criptomonedas en pagos de rescate. En un anuncio publicado en el sitio de filtración de la red oscura del grupo esta semana, el grupo amenazó con publicar los datos completos de las víctimas que buscan ayuda de las agencias policiales y de investigación luego de un ataque de ransomware.

Uno de los mensajes enviados a los empleados de TTEC incluía un enlace a un Zoom línea de videoconferencia en ttec.zoom.us. Al hacer clic en ese enlace, se abrió una sesión de Zoom en la que varios empleados de TTEC que estaban compartiendo sus pantallas se turnaban para usar el World wide Assistance Desk de la compañía, un sistema TTEC interno para rastrear los tickets de soporte al cliente.

Los empleados de TTEC parecen estar utilizando la línea de conferencias de Zoom para informar el estado de varios equipos de atención al cliente, la mayoría de los cuales informan que «no pueden trabajar» en este momento.

Por ejemplo, el Provider Desk de TTEC informa que cientos de empleados de TTEC asignados para trabajar con los servicios prepagos de Financial institution of The united states no pueden trabajar porque no pueden conectarse de forma remota a las herramientas de servicio al cliente de TTEC. Más de 1,000 empleados de TTEC actualmente no pueden realizar su trabajo normal de atención al cliente para Verizon, según los datos de la mesa de servicio. Cientos de empleados asignados para atender llamadas de Kaiser Permanente tampoco pueden trabajar.

“Han estado en silencio por radio toda la semana, excepto para notificar a los empleados que se tomen otro día libre”, dijo la fuente que transmitió los mensajes de TTEC, quien habló con KrebsOnSecurity bajo condición de anonimato. «Hasta donde yo sé, todos los empleados de bajo nivel tienen otro día libre hoy».

Se desconoce el alcance y la gravedad del incidente en TTEC. Es común que las empresas desconecten los sistemas críticos en caso de una intrusión en la pink, como parte de un esfuerzo mayor para evitar que la maldad se propague a otros lugares. A veces, desconectar todo realmente ayuda, o al menos ayuda a evitar que el ataque se propague a las redes asociadas. Pero son esas mismas conexiones con empresas asociadas las que generan preocupación en el caso de la interrupción en curso de TTEC.

Mientras tanto, si tiene la mala suerte de tener que hacer una llamada de servicio al cliente hoy, existe una probabilidad mejor que incluso de que experimente … espérelo … tiempos de espera más largos de lo habitual.

Esta es una historia en desarrollo. Aquí se indicarán más detalles o actualizaciones con una marca de fecha y hora.

Actualización, 5:37 pm ET: TTEC respondió con la siguiente declaración:

TTEC está comprometido con la seguridad cibernética y con la protección de la integridad de los sistemas y datos de nuestros clientes. Recientemente, nos enteramos de un incidente de ciberseguridad que ha afectado a ciertos sistemas TTEC. Aunque como resultado del incidente, algunos de nuestros datos fueron encriptados y las actividades comerciales en varias instalaciones se han interrumpido temporalmente, la empresa continúa sirviendo a sus clientes globales. TTEC activó inmediatamente sus protocolos de continuidad del negocio de respuesta a incidentes de seguridad de la información, aisló los sistemas involucrados y tomó otras medidas apropiadas para contener el incidente. Ahora estamos en el proceso de restaurar cuidadosa y deliberadamente los sistemas que han estado involucrados.

También iniciamos una investigación, típica en las circunstancias, para determinar los posibles impactos. Al servir a nuestros clientes, TTEC, en normal, no mantiene los datos de nuestros clientes, y la investigación hasta la fecha no ha identificado ningún compromiso con los datos de los clientes. Esa investigación está en curso y tomaremos medidas adicionales, según corresponda, en función de los resultados de la investigación. Esta es toda la información que tenemos para compartir hasta que se total nuestra investigación.



Enlace a la noticia primary