Quando dados roubados são publicados online

Hackers tentam causar o máximo de danos à reputação e estão enviando links para os dados que roubaram por meio das vulnerabilidades do Accellion FTA.

No final do ano passado, surgiram informações online sobre ataques a empresas usando o desatualizado Accellion File Transfer Appliance (FTA). Alguns cibercriminosos usaram vulnerabilidades do aplicativo para roubar dados confidenciais, usando a ameaça de vazamento para extorquir as vítimas. Infelizmente, eles cumpriram a palavra.

Qual é a vulnerabilidade?

O Accellion FTA é um dispositivo de rede implantado pelas empresas para entrega rápida e fácil de arquivos grandes. Com 20 anos, a solução deve ser aposentada este ano, e os desenvolvedores há muito pedem uma migração para produtos mais atualizados.

Em dezembro de 2020, a descoberta de duas vulnerabilidades – CVE-2021-27101 e CVE-2021-27102 – na solução permitiu aos invasores obter acesso aos arquivos carregados para dispositivos FTA. As vulnerabilidades foram resolvidas, mas em janeiro de 2021 mais duas (CVE-2021-27103 e CVE-2021-27104) foram descobertas e corrigidas.

No entanto, os invasores conseguiram roubar os dados de vários usuários do Accellion FTA. Várias reportagens de grande destaque na imprensa foram publicadas sobre os vazamentos. Aparentemente, nem todas as vítimas concordaram em pagar o resgate, então os agressores cumpriram com sua ameaça de compartilhar os dados que haviam roubado.

Como os cibercriminosos publicam dados

Recentemente, registramos e-mails em massa com o objetivo de comprometer a reputação das vítimas aos olhos de funcionários, clientes e parceiros, bem como de concorrentes. A extensão dos e-mails e as fontes dos endereços não são conhecidas com certeza, mas parece que os cibercriminosos estavam tentando alcançar o máximo de telespectadores que podiam.

E-mail dos invasores para funcionários, clientes, parceiros e concorrentes

E-mail dos invasores para funcionários, clientes, parceiros e concorrentes

 

As mensagens pediam aos destinatários que usassem o navegador Tor para visitar um site .onion e alegavam que o site recebia dezenas de milhares de acessos por dia. Entre os supostos visitantes: todos os tipos de hackers e jornalistas capazes de causar danos ainda maiores à infraestrutura e à reputação de uma empresa. Curiosamente, o site pertence ao grupo CL0P, especializado em ransomware, embora nos ataques por meio das vulnerabilidades do Accellion FTA, os arquivos não tenham sido criptografados. Os hackers, ao que parece, apenas aproveitaram a oportunidade e tiraram proveito dessa plataforma.

Claro, o objetivo é intimidar outras vítimas. A propósito, tanto o e-mail quanto o site contêm detalhes para entrar em contato com os invasores para que os arquivos publicados sejam removidos, embora não faça muito sentido uma vez que as informações já estejam disponíveis.

Também é importante ressaltar que o site apresenta um anúncio oferecendo aulas para administradores sobre como fechar as vulnerabilidades por meio das quais os dados foram roubados – por U$ 250 mil em bitcoin.

Ofereça-se para ajudar vítimas em potencial a evitar o mesmo destino

Oferta para ajudar vítimas em potencial a evitar o mesmo destino

 

Duvidamos que alguém vá cair nessa. Para começar, os desenvolvedores já lançaram versões atualizadas do Accellion FTA e, de qualquer maneira, pedir ajuda é o mesmo que admitir que você não pode fechar a vulnerabilidade e que ela ainda pode ser explorada.

Como proteger sua empresa contra esses ataques

  • Primeiro, atualize o Accellion FTA – ou melhor, pare de usá-lo completamente (até mesmo os desenvolvedores aconselham isso).
  • Em segundo lugar, atualize todos os produtos de software e serviços que têm acesso à Internet. É importante fazer isso imediatamente, mas também com uma certa frequência, para garantir atualizações contínuas e oportunas.
  • Além disso, proteja cada dispositivo – seja uma estação de trabalho, servidor ou solução de hardware / software – com um produto de segurança confiável que pode detectar tentativas de explorar vulnerabilidades, incluindo as desconhecidas.
  • Para quem já foi vítima de extorsão, não recomendamos o pagamento. Esse post recente de Eugene Kaspersky oferece uma explicação detalhada.
Dicas