Cibercriminosos afirmaram ter acesso a dados sensíveis, mas empresa diz que informações faziam parte de uma armadilha para rastreamento
Resecurity – O grupo de cibercriminosos ShinyHunters afirmou ter invadido a empresa de segurança Resecurity e divulgado provas do suposto ataque em um grupo no Telegram no último sábado. Segundo os criminosos, a ação teria garantido acesso irrestrito a dados internos, listas de clientes e informações de funcionários da companhia.
Para sustentar a alegação, o ShinyHunters compartilhou diversas capturas de tela de sistemas internos da Resecurity. Nas mensagens, o grupo afirmou ter obtido acesso a chats e logs internos, planos discutidos em conversas corporativas, uma lista de clientes com detalhes associados, dados de inteligência de ameaças, além de relatórios e documentos de gerenciamento.
LEIA: Vírus vendido no Telegram rouba contas do Discord e se torna ameaça preocupante
Os criminosos também alegaram acesso a informações de funcionários, incluindo nomes, endereços de e-mail e tokens de autenticação. As imagens divulgadas mostram painéis internos da Resecurity, sistemas de gerenciamento de usuários, bancos de dados de tokens e canais de comunicação utilizados por funcionários. Entre as interfaces exibidas estariam dados confidenciais de usuários, chaves de API, tokens de acesso e conversas internas no chat Mattermost.
O ShinyHunters afirmou ainda que o ataque teria ocorrido como resposta direta a investigações conduzidas pela Resecurity sobre a atuação do grupo. Segundo os criminosos, a invasão não foi repentina, mas resultado de meses de monitoramento e confronto indireto entre as partes.
No comunicado publicado no Telegram, o grupo mencionou colaboração com um grupo de ransomware chamado Devman e citou outros ataques atribuídos a eles, incluindo um direcionado ao sistema financeiro do Vietnã. Nesse caso, funcionários da Resecurity teriam se passado por compradores de bases de dados para obter amostras do material vazado e informações sobre os responsáveis.
Empresa nega danos
Já a Resecurity afirmou que os dados acessados e divulgados pelo ShinyHunters faziam parte de uma operação controlada de “honeypot”.
O honeypot, ou “pote de mel”, é um ambiente virtual criado especificamente para atrair cibercriminosos, funcionando como uma armadilha. Ao invadir esse tipo de sistema, os atacantes podem ser monitorados e rastreados, permitindo que especialistas analisem seu comportamento e aprimorem a segurança da rede real.
De acordo com a Resecurity, dados sintéticos e aplicativos-isca foram implantados de forma intencional no ambiente hackeado, sem qualquer ligação com sistemas reais de clientes ou com as operações internas da empresa. A companhia garantiu que não houve perda de dados, exposição de senhas reais nem impacto para seus clientes.
A empresa também publicou um registro detalhado das atividades dos criminosos, incluindo uma captura de tela que mostra múltiplas entradas associadas ao endereço de e-mail falso do honeypot, mark@resecurity.com, além de endereços IP e solicitações de endpoint utilizadas durante o ataque.
Quem é o ShinyHunters
O ShinyHunters é um grupo cibercriminoso ativo desde 2020 e já foi responsável por ataques contra mais de 91 vítimas. O principal objetivo do grupo é o ganho financeiro, mas, em alguns casos, como no episódio envolvendo a Resecurity, também busca causar danos à reputação das organizações atacadas.
O modus operandi do ShinyHunters envolve a exploração de vulnerabilidades em aplicativos em nuvem e bancos de dados de sites, com foco na exfiltração de dados. Ao atacar provedores de gerenciamento de clientes, como a Salesforce, o grupo consegue acessar grandes volumes de informações pertencentes a múltiplos clientes em um único ataque.
Já atuou em conjunto com grupos como Scattered Spider e Lapsus$ em ataques contra empresas como Salesforce e Allianz Life, nos quais mais de 2,8 milhões de registros relacionados a clientes e parceiros corporativos foram expostos.
Após anunciar um hiato e encerrá-lo no dia seguinte, o grupo Scattered Lapsus$ Hunters passou a oferecer ransomware como serviço, fornecendo infraestrutura para ataques realizados por outros grupos dispostos a pagar pelo serviço.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/)
