MOVEit: o que você deve saber sobre o ataque ransomware

No início dessa semana, autoridades estadunidenses anunciaram que “pequeno número” de agências federais sofreram ataque hacker realizado por uma quadrilha chamada Cl0p, e que estão avaliando quais dados foram roubados, de forma a mitigar o impacto sofrido.

Saiba, a seguir, o que se sabe desse novo ataque até o momento.

Leia mais:

• Como melhorar a qualidade de fotos no iPhone
• Por que os preços de smartphones e tablets são tão altos no Brasil?
• Onda global de hackers mira agências do governo dos EUA

Seriedade

• As autoridades dos EUA ainda investigam o verdadeiro impacto, mas as primeiras hipóteses é que, embora seja sério, não é tão ameaçador;
• Esse ataque não foi tão profundo, a ponto de chegar ao nível de gabinete;
• Além disso, a infraestrutura crítica dos órgãos atacados poderá funcionar normalmente;
• Mas alguns dos dados roubados podem ser usados em ataques subsequentes, inclusive se passando por aqueles cujas informações pessoais foram tomadas.

Atacantes

O grupo por trás do ataque é conhecido como Cl0p, organização de hackers com membros que falam russo e está sediada provavelmente na Rússia.

Embora não seja uma surpresa se alguns membros do grupo incluírem policiais ou espiões russos, não há indicação de que o Cl0p receba ordens do governo russo, e seu alvo no passado sempre foi sobre dinheiro.

Analistas acreditam que as vítimas foram apanhadas em ampla campanha destinada a extrair dinheiro de corporações, não a chantagear agências governamentais.

Método de invasão

Os invasores usaram falha anteriormente desconhecida no programa de transferência de arquivos MOVEit, vendido pela Progress Software a milhares de clientes nos Estados Unidos e em outros lugares.

Destinado a lidar com dados confidenciais, o programa criptografa arquivos e os envia para pessoas ou grupos designados. Logo após o início dos ataques, a Progress identificou a vulnerabilidade em seu software e ofereceu patch no final de maio, embora nem todos os clientes o tenham aplicado.

Os ataques por meio desses provedores de software ou serviços são especialmente perigosos porque podem atingir muitos clientes ao mesmo tempo. A boa notícia sobre esse hack é que a falha permite acesso apenas ao banco de dados dos arquivos que estão sendo transferidos e não às redes gerais das empresas ou agências.

Sensibilidade das informações roubadas e de onde foram roubadas

A vítima federal conhecida até agora é o Departamento de Energia dos EUA, que supervisiona os programas nucleares. Isso inclui unidade vitimizada que gerencia lixo nuclear, a Waste Isolation Pilot Plant, no Novo México. Não está claro com que frequência a planta usou o MOVEit ou para quais dados.

A gigante do petróleo Shell foi atingida, mas disse que apenas pequeno número de funcionários usava o serviço. A British Broadcasting e a British Airways podem ter perdido informações confidenciais da folha de pagamento por causa de sua dependência de empresa de serviços chamada Zellis, que usava o MOVEit.

Na sexta-feira (16), os estados de Louisiana e Oregon avisaram que todas as suas carteiras de motorista foram expostas, incluindo datas de nascimento e endereços residenciais.

A Louisiana disse que os números da Previdência Social e os números do registro do veículo também estão em risco.

Os estados recomendam que os motoristas obtenham relatórios de crédito gratuitos para verificar atividades não autorizadas, congelem seus créditos para interromper novas contas em seu nome e obtenham um número de identificação pessoal para impedir que terceiros obtenham seus reembolsos de impostos.

O que o Cl0p fará com os dados roubados

O grupo começou a postar os nomes das centenas de empresas das quais afirma ter informações. Eles disseram que começarão a publicar conteúdo daqueles que não negociarem pagamento de extorsão em 21 de junho. O Cl0p afirmou ainda que não pretende atingir os governos e que excluirá seus dados, embora possa vender essas informações a outros sem que ninguém perceba.

Capacidade dos EUA de se defender de hackers

O fato de o Cl0p ter se sentido obrigado a declarar que não foi depois do governo ou dos hospitais indica que as prisões e interrupções de algumas das gangues de ransomware mais agressivas nos EUA estão causando impacto.

A Agência de Segurança Cibernética e Infraestrutura também agiu rapidamente para alertar alvos em potencial e instá-los a aplicar os patches de proteção. Os grupos de ransomware ainda fazem novas vítimas diariamente e, como muitos ataques não são declarados, é impossível saber para onde as coisas estão indo. Mas alguns indicadores, como a queda na quantidade média de dinheiro demandada, mostram melhora no desencorajamento de tais ataques.

Com informações de The New York Times

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!