Brisbane, Austrália
CNN
—
Criminosos cibernéticos na Rússia estão por trás de um ataque de ransomware em uma das maiores seguradoras privadas de saúde da Austrália, que viu dados pessoais confidenciais publicados na dark web, informou a Polícia Federal Australiana (AFP) na sexta-feira.
Em uma breve coletiva de imprensa, o comissário da AFP, Reece Kershaw, disse aos repórteres que os investigadores conhecem a identidade dos indivíduos responsáveis pelo ataque à seguradora de saúde Medibank, mas ele se recusou a identificá-los.
“A AFP está adotando medidas secretas e trabalhando sem parar com nossas agências domésticas e redes internacionais, incluindo a Interpol. Isso é importante porque acreditamos que os responsáveis pela violação estão na Rússia”, afirmou.
O Medibank diz que os dados roubados pertencem a 9,7 milhões de clientes antigos e atuais, incluindo 1,8 milhão de clientes internacionais. Os arquivos incluem dados de alegações de saúde de quase meio milhão de pessoas, incluindo 20.000 residentes no exterior.
Nesta semana, o grupo começou a divulgar na dark web parcelas selecionadas de dados de clientes, em arquivos com títulos que incluem lista boa, lista impertinente, abortos e embriaguez, que incluíam aqueles que buscavam ajuda para dependência de álcool.
Kershaw disse que a inteligência policial aponta para um “grupo de criminosos cibernéticos vagamente afiliados” que provavelmente são responsáveis por violações significativas de dados anteriores em todo o mundo, sem citar exemplos específicos.
“Esses cibercriminosos estão operando como um negócio com afiliados e associados que estão apoiando o negócio. Também acreditamos que algumas afiliadas podem estar em outros países”, disse Kershaw, que se recusou a responder a perguntas devido à sensibilidade da investigação.
Especialistas em segurança cibernética disseram que os criminosos provavelmente estão ligados ao REvil, uma gangue russa de ransomware conhecida por grandes ataques a alvos nos Estados Unidos e em outros lugares, incluindo o grande fornecedor internacional de carne JBS Foods em junho passado.
Essa violação interrompeu toda a operação de processamento de carne bovina da empresa nos Estados Unidos e levou a empresa a pagar um resgate de US$ 11 milhões. Em novembro passado, o Departamento de Estado dos EUA ofereceu um recompensa de $ 10 milhões para obter informações que levem à identificação ou localização dos principais líderes do REvil, também conhecido como o grupo do crime organizado de Sodinokibi.
Em meados de janeiro, a agência de notícias estatal russa TASS informou que pelo menos oito hackers de ransomware REvil havia sido detido pelo Serviço Federal de Segurança da Rússia (FSB) a pedido dos EUA.
Eles estavam enfrentando acusações de cometer “circulação ilegal de pagamentos”, um crime punível com até sete anos de prisão, informou a TASS, citando o Tribunal Tverskoi de Moscou.
Em março, o ucraniano Yaroslav Vasinskyi, um dos principais suspeitos ligados a um ataque ao fornecedor de software dos EUA, Kaseya, foi extraditado da Polônia para os EUA para enfrentar acusações, de acordo com uma declaração do Departamento de Justiça.
Jeffrey Foster, professor associado de estudos de segurança cibernética na Macquarie University, disse que há uma ligação importante entre a rede REvil e o grupo suspeito de hackear a rede Medibank.
“O maior link é que o site REvil dark web agora redireciona para este site. Então esse é o maior elo que temos entre eles, e o único elo que temos entre eles”, disse Foster, que monitora o blog onde o grupo publica suas reivindicações.
“Como a Rússia declarou que prendeu e dissolveu o REvil, parece provável que este seja o caso de um ex-membro do REvil, que teve acesso ao site da dark web para poder fazer o redirecionamento que requer acesso ao hardware, ” ele disse. “Se REvil voltou ou não, não sabemos.”
Medibank primeira atividade incomum detectada em sua rede há quase um mês. Em 20 de outubro, a empresa emitiu um comunicado dizendo que um “criminoso” havia roubado informações de seu seguro de saúde ahm e sistemas de estudantes internacionais, incluindo nomes, endereços, números de telefone e alguns dados de sinistros para procedimentos e diagnósticos.
Foi feito um pedido inicial de resgate de US$ 10 milhões (US$ 15 milhões australianos), mas a empresa disse que, após extensa consulta a especialistas em crimes cibernéticos, decidiu não pagar. Posteriormente, foi reduzido para US$ 9,7 milhões – um para cada cliente afetado, de acordo com Foster.
Na época, o Medibank disse que havia apenas uma “chance limitada” de que pagar o resgate impediria que os dados fossem publicados ou devolvidos à empresa.
Em sua declaração na sexta-feira, Kershaw, o comissário da AFP, disse que a política do governo australiano não tolera o pagamento de resgates a criminosos cibernéticos.
“Qualquer pagamento de resgate, pequeno ou grande, alimenta o modelo de negócios do cibercrime, colocando outros australianos em risco”, disse ele.
Kershaw disse que os investigadores do Bureau Central Nacional da Interpol da Austrália estariam conversando com seus colegas russos sobre os indivíduos, a quem ele se dirigiu diretamente com uma ameaça de vê-los acusados na Austrália.
“Para os criminosos, sabemos quem você é. E, além disso, a AFP tem algumas corridas significativas no placar quando se trata de trazer infratores estrangeiros de volta à Austrália para enfrentar o sistema de justiça”, disse ele.
Sexta-feira anterior, Primeiro-ministro australiano Anthony Albanese disse estar “enojado” com os ataques e, sem citar a Rússia, disse que o governo do país de origem deveria ser responsabilizado.
“A nação de onde vêm esses ataques também deve ser responsabilizada pelos ataques repugnantes e pela divulgação de informações, incluindo informações muito particulares e pessoais”, disse Albanese.
Em comunicado na sexta-feira, CEO do Medibank, David Koczkar disse que estava claro que a gangue criminosa por trás da violação estava “aproveitando a notoriedade” e era provável que eles divulgassem mais informações a cada dia.
“A natureza implacável dessa tática usada pelo criminoso é projetada para causar angústia e danos”, disse ele. “Essas são pessoas reais por trás desses dados e o uso indevido de seus dados é deplorável e pode desencorajá-los a procurar atendimento médico.”