Cibercriminosos afirmam ter divulgado informações após empresas se recusarem a pagar extorsão
Dados – O grupo cibercriminoso ShinyHunters voltou a reivindicar a autoria de um grande vazamento de dados, desta vez envolvendo milhões de registros associados ao SoundCloud, ao Crunchbase e à Betterment. Segundo os hackers, a divulgação ocorreu após tentativas malsucedidas de extorsão contra as empresas e estaria relacionada a uma campanha de vishing conduzida contra a Okta.
Na semana passada, o grupo criou um site de vazamentos hospedado na rede Tor, com domínio .onion, onde passou a publicar supostos bancos de dados parciais vinculados a três organizações. Entre elas estão o SoundCloud, plataforma global de streaming de áudio; o Crunchbase, especializado em informações sobre empresas públicas e privadas; e a Betterment, empresa norte-americana de consultoria financeira.
LEIA: Golpe usando IA imita rei da Bélgica para extorquir autoridades e empresários
De acordo com o ShinyHunters, os vazamentos começaram a ser anunciados em mensagens publicadas no canal de Telegram do grupo, que continham links direcionando para os domínios .onion. Esses links permitiam acesso gratuito aos supostos dumps de dados. Os criminosos afirmam que a divulgação foi feita após as empresas recusarem o pagamento de resgates exigidos.
Nas descrições publicadas no blog de vítimas mantido pelo grupo na dark web, os hackers alegam que mais de 30 milhões de registros com informações pessoais identificáveis (PII) teriam sido comprometidos no SoundCloud, mais de 2 milhões no Crunchbase e mais de 20 milhões na Betterment.
Em dezembro do ano passado, o SoundCloud confirmou um vazamento de dados que afetou quase 20% de sua base de usuários. A empresa informou que possui entre 175 e 180 milhões de usuários ativos, o que indicaria pelo menos 35 milhões de contas impactadas – número compatível com o volume de dados agora atribuído ao ataque pelo ShinyHunters.
Okta alerta para campanha de vishing
No mesmo dia, a Okta, empresa de gerenciamento de identidade e acesso baseada em nuvem, emitiu um alerta de segurança sobre uma campanha de vishing envolvendo o Okta SSO, que já teria feito diversas vítimas, embora o total exato não tenha sido divulgado.
O vishing é uma modalidade de phishing realizada por meio de chamadas telefônicas, nas quais os criminosos se passam por empresas, instituições financeiras ou pessoas de confiança para enganar as vítimas e obter informações sensíveis ou induzir pagamentos.
Segundo a Okta, os atacantes utilizam kits de phishing sofisticados comercializados como serviço, operando em sincronia com ligações telefônicas ao vivo. Esses kits permitem a manipulação, em tempo real, de páginas falsas enquanto os criminosos conversam com as vítimas.
O golpe começa com uma ligação em que o atacante se apresenta como suporte técnico, utilizando números de telefone falsificados. A vítima é então direcionada a um site fraudulento e, à medida que digita login e senha, as informações são enviadas automaticamente para canais do Telegram controlados pelos criminosos.
Quando o sistema solicita autenticação de dois fatores, o atacante atualiza instantaneamente a página falsa para exibir exatamente a mesma interface do login legítimo, orientando a vítima por telefone a inserir o código MFA ou clicar em opções específicas. Essa técnica permite contornar mecanismos modernos de segurança.
Antes de iniciar o ataque, os criminosos realizam uma pesquisa detalhada sobre o funcionário alvo, identificando os aplicativos utilizados e os números de telefone do suporte de TI da empresa. Com isso, criam páginas de phishing personalizadas e fazem ligações usando números corporativos falsificados, conduzindo todo o processo de autenticação enquanto mantêm a vítima na linha.
ShinyHunters assume ligação com os ataques
Alon Gal, da empresa de segurança Hudson Rock, afirmou em uma publicação no LinkedIn que foi contatado diretamente pelo ShinyHunters após um relatório do BleepingComputer sobre a campanha de vishing envolvendo o Okta SSO.
Segundo Gal, o grupo confirmou estar por trás da campanha e compartilhou a URL do blog de vítimas hospedado na rede Tor, onde os supostos dados das três empresas foram publicados após a recusa das tentativas de extorsão. Os hackers também afirmaram que novas vítimas serão divulgadas em breve.
Gal relatou ainda ter baixado os dados atribuídos ao Crunchbase, que incluiriam bancos de dados com informações pessoais identificáveis, contratos assinados e outros dados corporativos, reforçando a hipótese de que os três vazamentos estejam relacionados ao ataque direcionado à Okta.
Enquanto isso, os supostos dados ligados ao SoundCloud, Crunchbase e Betterment seguem disponíveis para download em fóruns de crimes cibernéticos, incluindo comunidades de língua francesa e russa.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)
