Honeypot: Criminosos do grupo ShinyHunters caem em armadilha de empresa de segurança

O ShinyHunters, grupo de cibercriminosos, se declarou responsável por uma invasão à empresa de segurança Resecurity. Em um grupo no Telegram, no último sábado, os criminosos compartilharam diversas capturas de tela do sistema interno da empresa para provar o ataque.

Os criminosos afirmaram que haviam obtido acesso ilimitado a dados como chats e logs internos, planos da companhia discutidos nos logs de chat, uma lista de clientes com detalhes relacionados, dados de inteligência de ameaças, relatórios e documentos de gerenciamento. 

Além disso, o grupo alegou acesso a informações de funcionários – incluindo nomes, e-mails e tokens de autenticação, relatórios e documentos de gerenciamento.

As imagens mostram vários painéis internos da Resecurity, painéis de gerenciamento de usuários, bancos de dados de tokens e canais de comunicação dos funcionários. As interfaces mostradas incluem dados confidenciais dos usuários, chaves API, tokens de acesso e conversas internas no chat Mattermost.

Ataque seria resposta a investigação da Resecurity

ShinyHunters também mencionou a colaboração com um grupo de ransomware chamado Devman e afirmou que o ataque a Resecurity não foi repentino, mas uma resposta aos meses que a empresa tenta estudar a atuação do grupo.

No comunicado no Telegram, o grupo fez referência a outros ataques relacionados a eles, como um direcionado ao sistema financeiro do Vietnã, quando funcionários da Resecurity fingiram ser compradores da base de dados para pegar amostras do ataque e informações sobre o grupo.

Empresa afirma que invasão foi a ambiente controlado

O plot twist desse ataque veio com o pronunciamento da Resecurity. A empresa afirmou que os dados e informações acessados e publicados pelo ShinyHunters eram parte de uma operação controlada de “honeypot”. 

O "pote de mel" é um ambiente virtual controlado, usado para atrair os cibercriminosos para uma armadilha.

Ao hackearem o honeypot, os cibercriminosos podem ser rastreados, e seu comportamento pode ser avaliado por especialistas para entender como tornar a rede real mais segura.

Segundo a empresa, dados sintéticos e aplicativos-isca foram implantados intencionalmente para monitorar atividades maliciosas, sem nenhuma ligação com sistemas reais de clientes ou operações internas.

A Resecurity garantiu que não houve perda de dados, exposição de senhas reais ou qualquer impacto para seus clientes.

Eles também publicaram um registro detalhado da atividade dos criminosos, incluindo um print que mostrava várias entradas vinculadas ao endereço de e-mail falso do honeypot mark@resecurity.com, juntamente com endereços IP e solicitações de endpoint.

Quem é ShinyHunters?

O ShinyHunters é um grupo cibercriminoso que apareceu pela primeira vez em 2020 e já é responsável por atacar mais de 91 vítimas até agora. O grupo tem como objetivo principal os ganhos financeiros, mas também, como no caso da Resecurity, busca causar danos à reputação de suas vítimas.

O modus operandi do ShinyHunters envolve a exploração de vulnerabilidades em aplicativos em nuvem e bancos de dados de sites, e sua especialidade é a exfiltração de dados. Ao atacar provedores de gerenciamento de clientes, como a Salesforce, os cibercriminosos conseguem obter acesso a conjuntos de dados valiosos de vários clientes em um único ataque. 

O grupo se juntou ao Scattered Spider e Lapsus$ para atacar empresas como a Salesforce e a Allianz Life, das quais eles expuseram mais de 2,8 milhões de registros relacionados a clientes individuais e parceiros corporativos. 

O Scattered Lapsus$ Hunters, após anunciar um hiato, e sair dele no dia seguinte, agora fornece ransomware como serviço, o que significa que passaram a lançar ataques de ransomware em nome de outros grupos dispostos a pagar por isso.

Para continuar informado, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter para mais notícias de tecnologia e segurança.