A JBS (JBSS3) foi comprometida pelo Coinbasecartel, um grupo especializado em extorsão e sequestro de dados. Divulgado pelos criminosos na última quinta-feira (5), o incidente envolve o recolhimento de 3 TB de registros sensíveis, incluindo documentos, contratos e planilhas de produção. O TecMundo notificou a empresa sobre o caso, mas não obteve resposta.
Na publicação original, anexada na captura de tela abaixo, o Coinbasecartel não detalhou o conteúdo do vazamento e nem incluiu imagens de amostra. Por esse motivo, o TecMundo entrou em contato com os cibercriminosos para apurar as alegações, entender as motivações para o crime, modus operandi e esclarecer se colaboradores ou clientes da JBS correm risco de exposição.
O contato inicial com o Coinbasecartel ocorreu na sexta-feira (6), por meio do endereço para o mensageiro qTox disponível em seu blog. Esse aplicativo conecta dois usuários diretamente, utilizando criptografia ponta a ponta sem depender de servidores externos.
Após verificar a autenticidade da solicitação, o suporte do Coinbasecartel concordou em ceder uma entrevista exclusiva para o TecMundo. No texto a seguir, há detalhes sobre o vazamento, as motivações para o crime e como ele ocorreu. Todo o material exibido adiante foi previamente compartilhado com a JBS, por e-mail.
Que evidências indicam que a JBS realmente foi comprometida?
Para prosseguir a apuração, o TecMundo solicitou ao Coinbasecartel provas de que a JBS teria sido realmente comprometida – algo, até então, não compartilhado publicamente. Em resposta, o representante do grupo enviou um link exposto para o FortiReset da empresa.
Quando vulnerável, esse link permite executar ou iniciar o processo de redefinição de senha ou configuração de um dispositivo da linha FortiGate, fabricado pela Fortinet.
Sem proteção adequada (como autenticação, restrição de IP ou VPN), qualquer pessoa que descubra o endereço pode tentar usar essa função para redefinir credenciais administrativas ou interferir na configuração do equipamento. Além disso, também pode permitir acesso não autorizado ao firewall ou ao sistema de gerenciamento, comprometendo a rede protegida pelo dispositivo.
Além disso, o Coinbasecartel também afirmou que a JBS não havia entrado em contato, até aquele momento: “É surpreendente. Nós temos muitos segredos [de negócio]”. Questionando se a falta de respostas é algo comum, o representante do grupo confirmou e sugeriu que a falta de rastros ou evidências de invasão pode ser uma explicação plausível.
O representante do Coinbasecartel, que pediu para ser chamado apenas de “Cartel”, afirmou que o grupo não faz a criptografia de dados – ou seja, não os deixa trancados ou inutilizados. Anteriormente, essa era a principal forma de operação de ransomware, um tipo de código malicioso que “embaralha” todos os arquivos de um sistema operacional. O objetivo, nesse caso, era simplesmente obter um pagamento para “desembaralhar” as informações.
“Nós não queremos causar destruição, não estamos interessados em causar desordem,” afirma Cartel, “apenas queremos ser pagos pelos nossos “serviços”. Ele ainda pondera sobre potenciais danos que poderiam ser causados à empresa: “imagine o tempo de inatividade que eles [JBS] teriam se os bloqueássemos — seria tão fácil bloquear a JBS”.
“Em nossa experiência, tornar públicos dados sensíveis já é suficiente para que uma corporação nos pague. Existem relatos online dizendo que nós criptografamos; se isso for comprovado, encerraremos nossas operações – essa é a nossa palavra.”
Em seguida, Cartel enviou os primeiros documentos que teriam sido vazados da JBS. Censurados pelo TecMundo, o material contém três arquivos, sendo dois PDFs e uma planilha ODS. Neles, é possível ver uma lista de presença com assinaturas manuscritas de funcionários e uma listagem de produtos em containers. Há também uma tabela com nomes de 41 colaboradores, também incluindo seus e-mails, celulares, IDs e URLs de usuário.
Analisando os documentos, é possível verificar fortes indícios de exposição indevida de colaboradores da JBS, incluindo informações sensíveis, como suas assinaturas. Esses arquivos foram compartilhados exclusivamente com o TecMundo e não foram republicados no blog do Coinbasecartel.
Como o vazamento de dados da JBS ocorreu?
Durante a entrevista ao TecMundo, Cartel explicou como o comprometimento da JBS ocorreu. Segundo ele, não houve descoberta de falha e nem exploração técnica – na verdade, o elemento vulnerável foi um funcionário.
- TecMundo: Você indicou que um link vulnerável do FortiReset esteve envolvido. Pode explicar, em um nível mais geral, como essa vulnerabilidade foi descoberta?
- Cartel, Coinbasecartel: Neste caso, não fomos nós que a descobrimos. O insider que entrou em contato conosco nos enviou esse link. Explorá-lo foi fácil, pois estava vulnerável e nos deu um ponto de entrada na rede da [JBS.co.br], e a partir daí as possibilidades eram infinitas. Tudo se resume a encontrar aquele elo fraco (desta vez sendo um humano) e explorá-lo ao máximo.
Considerado um dos maiores problemas e mais atuais da cibersegurança, a vulnerabilidade citada por Cartel possui até mesmo nome técnico: Inside Threat, ou Ameaça Interna. Nesses casos, um funcionário simplesmente colabora com terceiros para vazar informações confidenciais, sabotar sistemas e muito mais.
Frequentemente, também é possível que essa “cooperação” seja forçada, seja por meio de métodos de enganação ou até ameaça direta a um funcionário – que cede por pressão ou chantagem. Contudo, esse não parece ser o caso do comprometimento da JBS.
- TecMundo: O que permitiu que essa invasão acontecesse?
- Cartel, Coinbasecartel: “Eles não pagam seus funcionários nem de longe o suficiente”.
Por outro lado, ele admite que houve um aumento nos investimentos técnicos de cibersegurança e afirma que é difícil obter sucesso sem métodos próprios.
- TecMundo: De forma geral, você acredita que grandes corporações estão melhorando sua postura de cibersegurança ou ainda cometem os mesmos erros?
- Cartel, Coinbasecartel: “Sim, as grandes corporações em geral têm melhorado rapidamente suas práticas de cibersegurança nos últimos anos. Para uma empresa que leva sua segurança a sério, você não conseguirá acesso sem táticas de engenharia social ou exploits que desenvolvemos”.
O erro humano nunca pode ser eliminado, e já vimos muitos erros mesmo em empresas desse tamanho. Então ainda é possível ter sorte nesse sentido.
“Não temos respeito nenhum por esses porcos”, afirma Coinbasecartel sobre JBS
Quando questionados sobre o que motivou o ataque à JBS, Cartel esclareceu que a empresa foi um dos alvos em uma operação maior. Sem nenhum outro interesse além do financeiro, porém, ele afirma que o histórico de corrupção e longa lista de clientes afetados também despertou atenção do grupo.
- TecMundo: A invasão à JBS foi realizada por você pessoalmente, por uma equipe dentro do grupo ou por uma colaboração mais ampla?
- Cartel, Coinbasecartel: “Foi uma das corporações visadas em uma campanha maior conduzida por uma das nossas principais equipes. Não é a primeira vez que extorquimos uma empresa desse porte”.
- TecMundo: [Após o comprometimento] O ataque foi oportunista?
- Cartel, Coinbasecartel: “Não estávamos adivinhando sobre os sistemas ou sobre a estrutura da rede. O insider já conhecia partes dela”.
- TecMundo: Quais fatores tornaram a JBS um alvo atraente?
- Cartel, Coinbasecartel: “Uma empresa grande como essa, com um histórico de escândalos […] é um alvo ideal para explorarmos. A quantidade de clientes afetados também contribui para isso”.
- TecMundo: No momento, vocês afirmam ter cerca de 3 TB de dados internos e segredos. Você pode descrever a natureza geral desses arquivos sem revelar informações sensíveis?
- Cartel, Coinbasecartel: “Não é uma alegação, nós fornecemos provas a vocês, e quando vocês publicarem isso nosso blog já terá mais do que evidências suficientes. Temos todos os contratos deles, informações de funcionários, caixas de e-mail e todos os pequenos segredos sujos que os gêmeos Batista estão escondendo”.
- TecMundo: Na sua perspectiva, quais são as descobertas mais significativas dentro dos dados que vocês obtiveram?
- Cartel, Coinbasecartel: “O mundo de vocês verá isso se a JBS não nos pagar. Vamos garantir que eles queimem, acreditem em nós, eles merecem. Não temos nenhuma simpatia por porcos como esses”.
Valor para evitar vazamento de dados da JBS pode chegar a US$ 10 milhões, afirma Coinbasecartel
Adiante, Cartel afirma que a JBS não havia entrado em contato com o grupo até a última segunda-feira (9). Em razão disso, novos documentos foram publicados no blog da Coinbasecarte nesta terça-feira (10), indicando que o prazo da empresa até o vazamento total pode estar acabando. Quando questionados sobre potenciais valores exigidos para evitar a exposição dos dados, ele detalha que os números podem chegar a US$ 10 milhões em casos como esse.
Segundo Cartel, esses valores para resgate são definidos a partir de características particulares. Entre eles, há o setor de operações da empresa, a sensibilidade dos dados e o momento do incidente.
O representante do grupo exemplifica: “Quanto eles perderão no preço das ações, na saída de clientes ou em processos legais? Eles já estão envolvidos em algum escândalo em andamento? Essas são conversas reais que acontecem antes de definir um preço.”
Falando sobre os casos em que não há retorno, Cartel explica as consequências: “Começamos entrando em contato com certos stakeholders, depois tornamos a violação pública”. Ele prossegue: “A partir daí depende da situação, mas as coisas vão escalando lentamente com o tempo até a liberação completa dos dados”.
“Sou criminoso, mas também um homem de negócios” diz invasor da JBS
Finalizando a entrevista, o TecMundo questionou como Cartel se via no meio dessas operações, sua função e como ele iniciou seus primeiros passos no mundo do crime. Ele afirma que já possui mais de 10 anos de experiência, sendo atualmente um membro oficial do Coinbasecartel, responsável pela negociação e gestão dos ataques.
Embora tenha evitado elaborar sobre preocupações em ser pego, Cartel comentou sobre as medidas de segurança adotadas pelo grupo: “Em nível de gestão, somos fechados”. Ele continua: “Nossos principais membros são todos extremamente experientes e são anônimos até entre si,” explica, “Apenas alguns de nós sequer se comunicam com pessoas de fora”.
Pessoalmente, Cartel comenta sobre como se vê entre as operações do grupo:
- TecMundo: Você se vê como um criminoso, um pesquisador expondo vulnerabilidades ou algo completamente diferente?
- Cartel, Coinbasecartel: “Eu sou antes de tudo um homem de negócios, mas também sou um criminoso, simples assim – e não perco o sono por causa disso. Mais pessoas do que você imagina fariam isso se pudessem, e a prova disso é o número de insiders que entram em contato conosco”.
No entanto, deve-se dizer que corporações como a JBS já fizeram coisas muito piores do que qualquer hacker, e isso é sabido. Nós não estamos subornando seus políticos ou usando trabalho infantil como eles fazem.
JBS não se pronunciou sobre o caso
Durante a apuração da reportagem, o TecMundo tentou contato com a JBS para obter comentários sobre o caso. O primeiro e-mail incluía imagens da primeira publicação do grupo criminoso, além de algumas perguntas. Na segundo, os documentos obtidos exclusivamente foram anexados, além do link anteriormente exposto.
Até o momento desta publicação, a JBS não respondeu aos contatos do TecMundo. Dessa maneira, não é possível confirmar oficialmente quais dados foram expostos ou sistema foi acessado, nem se há correções em andamento. Similarmente, não há confirmação se clientes ou funcionários estão em risco.
A reportagem será atualizada diante de novas informações oficiais da JBS.