BBC, BA e Boots receberam ultimato da gangue cibernética Clop

Aug 12, 2023

Uma prolífica gangue de crimes cibernéticos que se acredita estar baseada na Rússia emitiu um ultimato às vítimas de um hack que atingiu organizações em todo o mundo.

O grupo Clop postou um aviso nas empresas de alerta da dark web afetadas pelo hack do MOVEit para enviá-las por e-mail antes de 14 de junho ou os dados roubados serão publicados.

Mais de 100.000 funcionários da BBC, British Airways e Boots foram informados de que os dados da folha de pagamento podem ter sido obtidos.

Os empregadores estão sendo instados a não pagar se os hackers exigirem um resgate.

Pesquisas de segurança cibernética sugeriram anteriormente que Clop poderia ser o responsável pelo hack que foi anunciado pela primeira vez na semana passada.

Os criminosos encontraram uma maneira de invadir um software comercial popular chamado MOVEit e, em seguida, conseguiram usar esse acesso para entrar nos bancos de dados de potencialmente centenas de outras empresas.

Analistas da Microsoft disseram na segunda-feira acreditar que Clop era o culpado, com base nas técnicas usadas no hack.

Agora foi confirmado em uma longa postagem no blog escrita em inglês ruim.

A postagem, vista pela BBC, diz: "Este é um anúncio para educar as empresas que usam o produto Progress MOVEit que provavelmente baixamos muitos de seus dados como parte de uma exploração excepcional".

A postagem pede às organizações de vítimas que enviem um e-mail à gangue para iniciar uma negociação no portal darknet da equipe.

Essa é uma tática incomum, pois normalmente os pedidos de resgate são enviados por e-mail às organizações vítimas pelos hackers, mas aqui eles exigem que as vítimas entrem em contato. Isso pode ocorrer porque o próprio Clop não consegue acompanhar a escala do hack que ainda está sendo processado em todo o mundo.

"Minha opinião é que eles têm tantos dados que é difícil para eles controlar tudo. Eles apostam que, se você souber, entrará em contato com eles", disse o CEO da SOS Intelligence, Amir Hadžipasić.

O MOVEit é fornecido pela Progress Software nos EUA para muitas empresas moverem arquivos com segurança pelos sistemas da empresa. O provedor de serviços de folha de pagamento Zellis, com sede no Reino Unido, era um de seus usuários.

Zellis confirmou que oito organizações do Reino Unido tiveram dados roubados como resultado, incluindo endereços residenciais, números de seguro nacional e, em alguns casos, dados bancários. Nem todas as empresas tiveram os mesmos dados expostos.

Os clientes da Zellis que foram violados incluem:

O governo da Nova Escócia e a Universidade de Rochester também estão alertando a equipe de que os dados podem ter sido roubados por meio da vulnerabilidade MOVEit.

O conselho de especialistas é para que os indivíduos não entrem em pânico e para que as organizações realizem verificações de segurança emitidas por autoridades como a Autoridade de Segurança e Infraestrutura Cibernética nos EUA.

A Clop afirma em seu site de vazamento que excluiu todos os dados dos serviços governamentais, municipais ou policiais.

"Não se preocupe, nós apagamos seus dados, você não precisa entrar em contato conosco. Não temos interesse em expor tais informações", diz.

No entanto, os pesquisadores dizem que os criminosos não são confiáveis.

"A alegação de Clop de ter excluído informações relacionadas a organizações do setor público deve ser tomada com cautela. Se as informações tiverem valor monetário ou puderem ser usadas para phishing, é improvável que eles simplesmente as tenham descartado", disse Brett Callow, ameaça pesquisador da Emsisoft.

Os especialistas em segurança cibernética há muito acompanham as façanhas do Clop, que se acredita estar baseado na Rússia, pois opera principalmente em fóruns de língua russa.

A Rússia há muito é acusada de ser um refúgio seguro para gangues de ransomware - o que ela nega.

No entanto, o Clop é executado como um grupo de "ransomware como serviço", o que significa que os hackers podem alugar suas ferramentas para realizar ataques de qualquer lugar.

Em 2021, supostos hackers Clop foram presos na Ucrânia em uma operação conjunta entre Ucrânia, EUA e Coreia do Sul.

Na época, as autoridades alegaram ter derrubado o grupo que, segundo eles, era responsável por extorquir US$ 500 milhões de vítimas em todo o mundo.

Mas Clop continuou a ser uma ameaça persistente.