julho 23, 2014

[Segurança] Histórias reais de Cyber Extorsão

Como bem lembrou o Coruja de TI, casos de ciber extorsão direcionados a empresas, como o que aconteceu com a Code Spaces, existem há um bom tempo e acontecem frequentemente. Empresas também podem ser vítimas de casos semelhantes aos Ransomwares, embora normalmente este tipo de malware seja direcionado a usuários finais. Nestes casos, ciber criminosos conseguem ter acesso a servidores ou a dados de empresas, impossibilitam o acesso as informações e exigem dinheiro em troca de devolverem o acesso.

Infelizmente poucos casos de extorsão a empresas são de conhecimento público e saem na mídia, então argumentos como "eu sei de N casos mas não posso contar" não tem utilidade prática nenhuma.

Há poucos dias eu achei um artigo no Dark Reading que cita 6 casos que aconteceram nos EUA. Juntando isso há alguns outros que eu me lembro e outros que achei em uma busca rápida no Google, já temos uma pequena lista para começar:
  • Nokia: em 2007 a Nokia pagou milhões de euros para um ciber criminoso que conseguiu roubar uma chave de criptografia usada em seu sistema operacional Symbian. O atacante ameaçou publicar a chave, o que iria permitir a outros criminosos fazer upload de aplicativos como se fossem legítimos em telefones no mundo todo. A Nokia acabou deixando milhões de Euros em um estacionamento com a esperança de que as autoridades poderiam rastrear o criminoso quando este pegasse o dinheiro, mas ele conseguiu fugir com o dinheiro sem deixar rastos;
  • Express Scripts: Esta empresa americana de gerenciamento de benefícios farmacêuticos recebeu uma mensagem em 2008 com dados de 75 clientes e ameaçando divulgar mais dados pessoais de milhões de clientes caso a empresa não pagasse um valor não informado para o atacante;
  • Governo Brasileiro: Segundo relatos do Raphael Mandarino Jr, diretor do DSIC, uma quadrilha do Leste Europeu invadiu um servidor de um órgão público brasileiro, trocou a senha e pediu um resgate de US$ 350 mil para devolver o acesso ao servidor. Com a ajuda de técnicos da Abin e de especialistas de fora do governo, conseguiu-se quebrar a senha e o acesso ao servidor foi recuperado sem a necessidade de pagar o resgate;
  • Cryptome: Em junho de 2013, o site cryptome.org recebeu uma mensagem ameaçando realizar um ataque de DDoS caso eles não pagassem um resgate de 1 Bitcoin;
  • Vimeo, Meetup, Basecamp, Bit.ly, Shutterstock, MailChimp, Moz e Move (uma start-up de financiamento imobiliário online): Estas empresas foram citadas em um artigo no The New York Times por terem sofridos ataques DDoS como forma de extorsão (na maioria dos casos, o atacante exigiu valores em torno de $300 para cessar o ataque);
  • Feedly: Em junho de 2014 a empresa ficou fora do ar diversas vezes devido a uma sequência de ataques DDoS que foram acompanhados por tentativas de chantagem pelos autores, que prometeram suspender os ataques se a empresa pagasse um resgate. A Feedly rejeitou publicamente a tentativa de suborno e trabalhou intensamente com o seu provedor de acesso para restaurar o serviço o mais rápido possível;
  • Evernote: Ao mesmo tempo que a Feedly, a Evernote também foi vítima de ataques DDoS, aparentemente acompanhados por tentativas de chantagem. Segundo o blog da empresa, os ataques chegaram a 35 Gbps mas eles conseguiram mitigar o ataque e restaurar o serviço;
  • One More Cloud: Ainda em Junho deste ano a empresa One More Cloud perdeu o acesso aos painéis de controle dos seus serviços de infra-estrutura de aplicativos de busca Websolr e Bonsai. O atacante comprometeu a conta de acesso ao painel de controle na Amazon (AWS EC2) dos serviços e precisou de apenas 2 minutos para conseguir terminar os serviços. Mas a empresa conseguiu localizar qual chave de acesso a API foi comprometida e revogaram imediatamente, tirando o controle do chantagistaA empresa recuperou seus dados no final de semana e restaurou seu serviço;
  • Domino's Pizza: Mais um caso recente, de Junho deste ano. Um grupo hacker chamado Rex Mundi anunciou publicamente que tinha conseguido roubar os dados de 650 mil clientes da Domino's Pizza na Europa, e ameaçou liberar os registros se a empresa não pagasse um resgate de € 30.000. A empresa se recusou a pagar e disse aos clientes que os dados roubados não continham informações financeiras. Aparentemente, o Rex Mundi não cumpriu sua ameaça;
  • Departamento de Polícia de Durham (EUA): O departamento de polícia desta pequena cidade americana foi infectado em junho deste ano pelo malware Cryptowall, que criptografa os arquivos no disco e exige o pagamento de uma taxa para desencriptá-los. Eles se recusaram a pagar os criminosos e usaram os backups para restaurar os dados que foram perdidos com o ataque;
  • Benjamin F. Edwards Co.: Este banco de investimentos americano teve dados roubados após um funcionário ser infectado pelo Cryptowall, um ransomware que encriptou os arquivos no computador do empregado e os enviou para um endereço IP externo.
Infelizmente poucos casos de ciber ataques saem na mídia. Recentemente eu ouvi o relato de um caso de um executivo de empresas que teve o seu notebook infectado por um ransomware e ele pagou o resgate para ter seus dados de volta - e depois disso avisou a equipe de TI. Não sei se ele tentou pedir reembolso disso no relatório de despesas daquele mês... Mas, como nada saiu publicamente na mídia, não é possível usar tal caso como referência, e isso acaba virando simples "fofoca corporativa".

Atualização (24/07/14): O Banco Central Europeu informou que alguém invadiu e roubou os dados de uma base de dados que continha e-mails e telefones de pessoas que se registraram em eventos deles. O criminoso tentou exigir dinheiro para não divulgar os dados.
Postado por em
Marcadores: , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.