CNN
—
Um número crescente de empresas, universidades e agências governamentais foram alvo de um ataque cibernético global por cibercriminosos russos e agora estão trabalhando para entender quantos dados foram comprometidos.
Embora o escopo do ataque ainda não seja totalmente conhecido, funcionários da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) disseram na quinta-feira que “várias agências federais… sofreram invasões” e sugeriram que várias empresas também poderiam ser afetadas.
Separadamente, as agências estaduais disseram na quinta-feira que milhões de pessoas na Louisiana e no Oregon tiveram seus dados comprometidos em uma violação de segurança. Os estados não culparam ninguém em particular pelo hack, mas as autoridades federais atribuíram uma campanha de hacking mais ampla usando a mesma vulnerabilidade de software a uma gangue russa de ransomware que se autodenomina Clop.
“Ninguém sabe a extensão total disso, e é assim que esses compromissos cibernéticos funcionam”, disse Robert Cattanach, sócio especializado em segurança cibernética do escritório de advocacia Dorsey & Whitney e ex-advogado do Departamento de Justiça, à CNN na sexta-feira. “Uma vez que você está comprometido, começa um árduo processo de ‘até onde eles chegaram?’ e ‘o que eles levaram?’ Isso normalmente leva semanas e, às vezes, meses.”
Aqui está o que sabemos até agora.
O ataque cibernético teve como alvo agências federais e estaduais.
O Departamento de Energia disse que “tomou medidas imediatas” para mitigar o impacto do hack depois de saber que os registros de duas “entidades” do departamento foram comprometidos. Nenhuma outra agência federal confirmou ter sido impactada.
Também afetou os governos estaduais de Minnesota e Illinois. E na quinta-feira, as agências estaduais disseram que 3,5 milhões de Oregonians com carteiras de motorista ou carteiras de identidade estaduais foram afetados por uma violação, assim como qualquer pessoa com essa documentação na Louisiana.
O amplo ataque também está atingindo empresas privadas.
Clop anteriormente reivindicou o crédito por um hack que comprometia os dados dos funcionários da BBC e da British Airways. As empresas confirmaram ter sofrido um incidente de segurança cibernética, que ocorreu por meio de uma violação de uma empresa de recursos humanos usada por ambas.
De acordo com Brett Callow, analista de ameaças da empresa de segurança cibernética Emsisoft, os hackers também listaram a Aon e o The Boston Globe como vítimas. “Pelas minhas contas, agora existem 63 vítimas conhecidas/confirmadas, além de um número não especificado de agências do USG”, Callow tuitou. (A Aon disse à CNN que está investigando um incidente que afetou seus clientes. Representantes do The Boston Globe não responderam imediatamente a um pedido de comentário.)
A campanha de hacking também se espalhou para a academia. A Universidade Johns Hopkins em Baltimore e o renomado sistema de saúde da universidade disseram em um comunicado que “informações pessoais e financeiras confidenciais”, incluindo registros de cobrança de saúde, podem ter sido roubadas no hack.
Enquanto isso, o sistema universitário estadual da Geórgia – que abrange os 40.000 alunos da Universidade da Geórgia, juntamente com mais de uma dúzia de outras faculdades e universidades estaduais – confirmou que estava investigando o “escopo e a gravidade” do hack.
Clop é uma gangue de ransomware russa conhecida por exigir pagamentos multimilionários das vítimas antes de publicar dados que afirma ter hackeado.
A Clop disse anteriormente que tem “informações sobre centenas de empresas”, de acordo com uma postagem na dark web vista pela CNN, e pediu às vítimas que as contatassem sobre o pagamento de um resgate. Posteriormente, começou a listar mais supostas vítimas do hack em seu site de extorsão na dark web.
Alguns especialistas em segurança cibernética sugeriram à CNN que a decisão do grupo de ransomware de pedir às vítimas que o contatassem, e não o contrário, mostra que a gangue está “sobrecarregada” com o grande número de empresas e organizações afetadas por seu último ataque cibernético.
Na quinta-feira, em vez de listar as agências federais na lista da dark web, os hackers escreveram em letras maiúsculas: “Se você é um governo, cidade ou serviço policial, não se preocupe, apagamos todos os seus dados. Você não precisa entrar em contato conosco. Não temos interesse em expor tais informações.”
Os hackers exploraram uma vulnerabilidade no MOVEit, um software amplamente utilizado por empresas e agências para transferência de dados.
A Progress Software, empresa americana que fabrica o software, disse à CNN na quinta-feira que uma nova vulnerabilidade no software foi descoberta “que poderia ser explorada por um malfeitor”.
A Progress vem alertando os clientes há semanas sobre as falhas de segurança descobertas no software. Ele lançou um comunicado de segurança no início de junho que dizia que uma vulnerabilidade poderia permitir que hackers obtivessem acesso não autorizado aos sistemas.
Como sempre, dizem os especialistas, os consumidores devem manter as precauções usuais de segurança cibernética: escolher senhas fortes, habilitar a autenticação de dois fatores e ficar de olho nas pontuações de crédito, atividade da conta e possíveis tentativas de phishing.
Mas grande parte da responsabilidade agora recai sobre empresas e agências federais, e não sobre indivíduos, de acordo com Cattanach.
“[The hackers] realmente não estamos tentando monetizar dados sobre indivíduos”, disse ele. “O foco deles é duas coisas: pedir resgate ou extorsão às entidades que eles conseguiram comprometer e, em seguida, lançar dúvidas francamente no governo federal quanto à segurança de seus muitos sistemas federais.”
A CISA ordenou que todas as agências civis federais atualizassem o software MOVEit devido ao hack da semana passada. A Progress, por sua vez, lançou dois patches de software para solucionar o problema e publicou etapas de correção para entidades impactadas.
No entanto, a vulnerabilidade do MOVEit o torna um alvo para outros agentes mal-intencionados que procuram causar estragos – e especialistas dizem que outros grupos podem agora ter acesso ao código de software necessário para realizar ataques.
Allan Liska, especialista em ransomware da empresa de segurança cibernética Recorded Future, disse à CNN na semana passada: “Infelizmente, a natureza sensível dos dados frequentemente armazenados nos servidores MOVEit significa que provavelmente haverá consequências reais decorrentes da invasão. [data theft] mas levará meses até entendermos todas as consequências desse ataque.