No dia 20 de agosto, um usuário de um fórum cibercriminoso bastante popular da internet superficial, identificado como "ShinyHunters", anunciou a venda de um banco de dados onde ele alega conter dados de mais de 70 milhões de clientes da operadora de telefonia estadunidense, AT&T. O banco de dados pode ser comprado parcialmente, por U$ 30 mil (R$ 153 mil) e U$ 200 mil (R$ 1 milhão) ou inteiro, por U$ 1 milhão (R$ 5 milhões).
- FBI deixa lista de supostos terroristas disponível na internet sem senha
- Dados de mais de 700 milhões de usuários do LinkedIn estão a venda na internet superficial
- Fornecedora da Audi e Volkswagen deixa exposto dados de mais de 3,3 milhões de clientes das montadoras
De acordo com o BleepingComputer, que entrou em contato com a AT&T e com um representante do grupo cibercriminoso, a empresa nega que tenha sido invadida ou que os dados anunciados tenham sido extraídos de seus servidores. Já um porta-voz do ShinyHunters explica que está apenas vendendo os dados e não liga se a empresa vai admitir o vazamento ou não. No entanto, revelou que está disposto a negociar um resgate com a AT&T, caso queiram.
Assim como é comum em casos de venda de banco de dados, foi fornecido pelos cibercriminosos uma amostra com dados de quatro clientes, como prova de que são reais. Um pesquisador de segurança anônimo informou ao BleepingComputer que conseguiu acessar a conta de dois dos quatro clientes vazados na amostra, através do próprio site da AT&T.
Este caso segue outro recente grande vazamento de dados contra à indústria telefônica, o da T-Mobile, onde cibercriminosos afirmam ter furtado dados de milhões de usuários da empresa e os estão vendendo no mesmo fórum cibercriminoso.
Mas o que é o ShinyHunters?
O ShinyHunters é um grupo cibercriminoso que foca em invadir e furtar dados internos, esses dados podem ser informações pessoais ou credenciais de clientes, usuários e funcionários, assim como também podem ser informações operacionais e inteligência de mercado. Embora ganhe dinheiro vendendo bancos de dados, em alguns casos, eles também os publicam de forma gratuita, para ganhar mais credibilidade e autoridade nos fóruns cibercriminosos.
O grupo apareceu pela primeira vez em maio de 2020, vendendo bancos de dados furtados em fóruns na dark web. Desde então, já fez um número assustador de vítimas. De acordo com uma pesquisa da McAfee, publicada em janeiro deste ano, só no ano passado foram mais de 16 grandes vazamentos (quase 130 milhões de registros de dados) e em janeiro de 2021 o grupo fez pelo menos 10 vítimas.
Wattpad, GitHub, Nitro PDF, Pixlr, Bonobos, Tesspring, Tunedglobal, Buyucoin, Juspay e muitas outras estão entre as principais vítimas do ShinyHunters.
A Intel471, que também analisou o comportamento do grupo, foi bastante assertiva ao caracterizar o ShinyHunters como "um grupo do submundo do crime cibernético que está tentando coletar dados corporativos da mesma forma que milhões de jogadores coletam Pokémons [...] Enquanto os jogadores de Pokémon caçam e coletam personagens “brilhosos” no jogo, o ShinyHunters coleta e vende dados do usuários”.
De acordo com o estudo, embora direcione ataques a representantes de todos os setores econômicos, o método de invasão e coleta dos dados é bastante consistente. “O ShinyHunters tenta obter credenciais legítimas, provavelmente para os serviços de nuvem de uma empresa. A partir daí, busca direcionar a infraestrutura de banco de dados para reunir PII para serem revendidos em mercados com fins lucrativos.”
Os pesquisadores explicam que embora não tenha tanta relevância midiática quantos os grupos de ransomware, se defender de ameaças como essas são indispensáveis para qualquer empresa, já que um vazamento de dados pode ser uma porta de entrada para outros ataques, ou se escalar para uma extorsão típica de ataques de ransomware.
“As informações que o ShinyHunters reúne costumam ser revertidas e vendidas nos mesmos mercados clandestinos onde os atores de ransomware as usam para lançar seus próprios ataques. Se as empresas puderem se mover para detectar atividades como ShinyHunters, elas, por sua vez, poderão interromper os ataques de ransomware antes mesmo de serem lançados”, explica a Intel471.
O impacto
Ainda segundo a pesquisa da Intel471, embora seja uma porta de entrada para ataques de ransomware, que podem ser ainda mais devastadores, o impacto causado por vazamentos de dados pode ser avassalador. O dano médio causado pelo ShinyHunters durante somente esse ano é de cerca de U$ 4,4 milhões (R$ 2 milhões), isso sem contar os outros milhões de dólares referentes ao dano causado no ano passado.
Para entender os impactos de um vazamento de dados, na prática, a The Hack entrou em contato com o diretor de serviços da Agility, Otoniel Ribeiro e com CEO da Stefanini Rafael (braço de cibersegurança do Grupo Stefanini), Leidivino Natal.
Segundo Ribeiro, da Agility, ataques com foco em furto de dados são praticados por dois grupos bastante estabelecidos. São eles, estados-nações, ou seja Governos e grupos cibercriminosos independentes. A diferença é que os estados-nações buscam conhecimento, tecnologia e dados através de ciberespionagem e os grupos cibercriminosos independentes buscam exclusivamente ganho financeiro, vendendo esses dados na dark web.
Uma das principais consequências é que um vazamento de dados se escale para um ataque de ransomware. Uma vez que o cibercriminoso, com a posse dos dados de uma empresa, pode destruir os sistemas e os backups dela e, com isso, pedir um valor para devolver os dados inicialmente roubados. “Com acesso aos sistemas e informações sensíveis, os invasores fazem a extração destes dados para seus servidores na nuvem, criptografam seus arquivos de origem, destroem seus backups e pedem o resgate para que você possa ter o acesso aos dados novamente”, explica Ribeiro.
Outra consequência grave é o roubo de identidade, que é quando invasores utilizam os dados vazados para conseguir acesso às contas ligadas à vítima vazada. “Com os dados vazados, os criminosos conseguem efetuar cadastros em instituições financeiras, efetuar compras online e solicitar empréstimos em nome das vítimas”, conclui.
Já Natal, da Stefanini Rafael, explica que uma vez que o dado é tirado do seu ambiente, não é possível controlar mais o que está sendo feito com ele e o Brasil é uma das maiores vítimas dessa prática criminosa. “Esse é um indicador que deve ser considerado pelas empresas. É fundamental realizar campanhas de conscientização constantemente, além de testes de vulnerabilidade e monitoramento de riscos continuamente. Isso deve ser parte do planejamento de segurança de qualquer empresa”, conclui.
Fontes: BleepingComputer; McAfee; Intel471