Os ShinyHunters atacam novamente. Agora, o grupo afirma ter vazado milhões de registros do SoundCloud e do Crunchbase após tentativas frustradas de extorsão. O grupo relaciona os dados vazados com uma campanha de vishing realizada contra a Okta.
Ontem, o grupo criou um site de vazamento na dark web .onion e publicou supostos bancos de dados parciais vinculados a três empresas. Entre elas estão o SoundCloud, uma plataforma global de streaming de áudio, o Crunchbase, que fornece dados sobre empresas privadas e públicas, e a Betterment, uma empresa americana de consultoria financeira.
ShinyHunters vaza dados de milhões de usuários
Os vazamentos começaram com mensagens no chat do Telegram do grupo contendo links para domínios .onion. Esses links davam acesso gratuito a supostos dumps de dados ao público geral. O ShinyHunters afirma que os vazamentos foram realizados após tentativas de extorsão contra as empresas afetadas, que negaram o pagamento do resgate dos dados.
Segundo as descrições publicadas pelo grupo em seu blog de vítimas na dark web, mais de 30 milhões de registros contendo informações pessoais identificáveis (PII) foram comprometidos no SoundCloud, mais de 2 milhões de registros no Crunchbase e mais de 20 milhões de registros na Betterment.
Em dezembro do ano passado, o SoundCloud já havia confirmado um vazamento de dados que afetou quase 20% da sua base de usuários. A empresa relatou que o número de usuários de sua plataforma está entre 175 e 180 milhões, então pelo menos 35 milhões de consumidores foram afetados. É um número que confere com a base de dados vazada pelo grupo cibercriminoso.
Okta alerta sobre campanha de vishing
Ontem mesmo a Okta, empresa de serviço de gerenciamento de identidade e acesso baseado em nuvem, emitiu um aviso de segurança alertando sobre uma campanha de vishing do Okta SSO que já resultou em várias vítimas, embora o número exato permaneça desconhecido.
O vishing funciona como um phishing por voz, no qual criminosos se passam por instituições financeiras, pessoas e empresas, como nesse caso, para enganar vítimas e roubar informações ou até mesmo fazer a vítima realizar pagamentos.
Os cibercriminosos estão usando kits de phishing sofisticados vendidos como serviço que funcionam em sincronia com ligações telefônicas ao vivo. Esses kits permitem que os atacantes manipulem páginas falsas em tempo real enquanto conversam com as vítimas.
O golpe funciona assim: o hacker liga se passando por suporte técnico usando números falsificados, direciona a vítima para um site falso e, conforme ela digita login e senha, essas informações vão direto para canais do Telegram controlados pelos criminosos.
O mais perigoso é que quando o sistema pede autenticação de dois fatores, o atacante atualiza instantaneamente a página falsa para mostrar exatamente a mesma tela que apareceria no login verdadeiro, instruindo a vítima por telefone a inserir o código MFA ou clicar em números específicos. Isso burla até mesmo os sistemas modernos de segurança que deveriam impedir esse tipo de ataque.
Antes de executar o golpe, os atacantes fazem uma pesquisa detalhada sobre o funcionário alvo, mapeando quais aplicativos ele usa e os números de telefone do suporte de TI da empresa. Eles então criam páginas de phishing personalizadas e ligam usando números corporativos falsificados.
Com a vítima ainda na linha, conseguem direcionar todo o processo de autenticação, tornando as solicitações fraudulentas de MFA praticamente indistinguíveis das legítimas.
Grupo hacker confirma responsabilidade pelos ataques
Alon Gal, da empresa de segurança Hudson Rock, publicou em seu LinkedIn que foi abordado diretamente pelo ShinyHunters após um relatório do BleepingComputer sobre a campanha de vishing da Okta SSO.
O grupo confirmou que está por trás da campanha e compartilhou com Gal a URL do blog de vítimas na rede Tor, onde os dados alegados das três empresas foram vazados após a rejeição das tentativas de extorsão. Os hackers afirmaram que mais vítimas serão publicadas em breve.
Gal confirmou ter baixado os dados do Crunchbase, que incluem bancos de dados com informações pessoais identificáveis (PII), contratos assinados e outros dados corporativos pertencentes à empresa. Isso reforça a suposição de que as três supostas violações de dados estão relacionadas ao ataque à Okta.
Enquanto isso, os supostos dados relacionados às três empresas continuam disponíveis para download em fóruns de crimes cibernéticos, incluindo comunidades de língua francesa e russa.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
