A lista de empresas que caíram nas mãos do grupo de ransomware Cl0p continua a crescer. A vulnerabilidade do MOVEit, que surgiu no início de junho, foi explorada pela gangue de ransomware Cl0p, colocando muitas empresas no mundo em risco de chantagem por ransomware.

O grupo de ransomware Cl0p mantém sua própria plataforma na dark web e investigações recentes revelam que a lista de vítimas da gangue cresceu para incluir 52 empresas. É importante observar que as alegações de violação de dados e exfiltrações contra essas empresas são feitas por um grupo de cibercriminosos.

Em 19 de junho de 2023, a filial brasileira da seguradora suíça Zurich foi vítima do ransomware Cl0p. No dia seguinte, 20 de junho de 2023, o ransomware Cl0p explorou a vulnerabilidade de transferência do MOVEit e empresas proeminentes como PwC e Ernst & Young foram declaradas novas vítimas de ataques de ransomware.

Em 22 de junho de 2023, a Gen Digital, empresa-mãe da Avast, Norton, AVG e Avira, confirmou uma violação de dados como resultado dos ataques de transferência do MOVEit pelo grupo de ransomware Cl0p. No mesmo dia, a fabricante japonês Sony, foi adicionada à lista de vítimas do Cl0p.

Outras entidades que foram alvo do Cl0p até o momento incluem a gigante global de energia Shell, os bancos 1st Source Bank e FNBB, o provedor de serviços SaaS Datasite, a empresa financeira de investimentos Putnam, o National Student Clearinghouse, as seguradoras ÖKK (OEKK) e United Healthcare Student Resources, a rede de resorts Landal Green Parks, o fabricante de tecnologia Heidelberg, o fabricante de móveis Leggett & Platt, a Universidade da Geórgia e o Boston Globe.

A gangue de ransomware Cl0p também anunciou a exclusão de dados supostamente pertencentes a agências governamentais. O grupo alega ter comprometido e excluído dados de agências e organizações governamentais dos Estados Unidos.

à venda na Darkweb:

“HELLO ** COMMUNITY I SELL 260 MILLION PHONE NUMBER RECORDS FROM DIFFERENT COUNTRIES
File Information
Compromised Phone………………………
Albania (1.609.123), Bahrain (7.757.686), Bolivia (4.757.465), Colombia (5.232.575) Cyprus (900.000), Czech Republic (1.000.000), Denmark (658.000), Egypt (6.123.979) France (2.090.163), Germany (7.879.989), Hongkong (2.927.232), Indonesia (50.927.879) Iran (1.079.869), Iraq (3.879.768), Italy (2.989.182), Jordan (686.080), Kuwait (2.979.232) Laos (788.879), Lebanon (686.908), Libya (4.826.827), Macao (7.817.819), Malaysia (5.179.819) Maldives (1.080.769), Mexico (2.099.908), Marocco (2.080.838), Netherlands (8.920.820), Newzeland (2.980.290) Peru (7.020.282), Portugal (6.282.729), Qatar (5.292.929), Russia (2.897.289), Saudi Arabia (8.819.980) Singapura (1.920.291), Switzerland (7.191.187), Taiwan (2.929.829), Tunisia (2.920.299), Turkey (2.929.829) UK (6.029.298), United Arab Emirates (10.292.287), USA (47.920.828), Yemen (8.029.200)
Total………………………………… 260.417.356 Phone Records
Size…………………………………. 16 GB
Format……………………………….. TXT
Country………………………………. World
Breach Date…………………………… Juny, 2023
File Sharing………………………….. Sharing.<onion>
Forum………………………………… breachforums.<vc>
PRICE
$2K”

A KillNet, REvil e Anonymous Sudan, algumas das mais perigosas organizações cibercriminosas anunciaram estar juntas numa grande campanha contra o sistema financeiro do Ocidente.

O plano é atacar de forma sistemática e coordenada alvos nos EUA e Europa e, em particular a rede SWIFT global e o Federal Reserve System dos EUA.

O anúncio foi feito no canal KillNet Telegram e foi confirmada num vídeo do Anonymous Sudan, onde representantes de todos os três grupos afirmam estar prontos para realizar um ataque.

O KillNet, é um grupo hacktivista pró-Rússia com histórico de campanhas DDoS contra países que apoiam a Ucrânia e parece estar no comando da operação. O REvil, é um grupo de ransomware que opera na Rússia, e traz um conjunto de habilidades perigosas para a aliança. Este grupo esteve envolvido em vários crimes cibernéticos de alto risco, incluindo um ataque audacioso em que roubaram os esquemas de futuros produtos da Apple. As autoridades russas afirmaram ter desmantelado o REvil em janeiro de 2022 mas poucos foram os que acreditaram em tal proclamação. O Anonymous Sudan alinha-se com a invasão russa da Ucrânia e os seus membros também foram implicados em ataques DDoS na infraestrutura crítica de vários países.

A YKK, o maior fabricante de zíperes do mundo, confirmou na semana passada que as suas operações nos Estados Unidos foram recentemente alvo de um ciberataque. A multinacional japonesa garantou que conseguiu conter com sucesso a ameaça antes que ocorressem danos significativos. Mas o conhecido grupo russo LockBit reivindicou a responsabilidade pelo ciberataque, ameaçando publicar todos os dados disponíveis se o resgate não fosse pago até 16 de junho. Contudo: não mostrou provas desse ataque (samples) pelo que poderá ser apenas uma ameaça ou proclamação vazia.
A YKK, uma multinacional com 106 subsidiárias em 72 países (entre os quais Portugal: https://ykk.pt) e emprega mais de 44 mil pessoas.

Em abril de 2023, especialistas da Microsoft Defender descobriram um ataque de phishing e comprometimento de e-mails comerciais em múltiplos níveis contra organizações bancárias e financeiras. O ataque teve origem num fornecedor confiável comprometido e demonstra a complexidade das ameaças de phishing e de e-mails comerciais em múltiplos níveis que exploram os relacionamentos de confiança entre fornecedores, parceiros e outras organizações com o objetivo de conseguirem levar a bom porto as suas fraudes.

Para lançar este ataque, os invasores usam um kit de phishing em estágios múltiplos desenvolvido, mantido e operado por um ator de ameaças rastreado pela Microsoft como Storm-1167 (DEV-1167). Esse sofisticado ataque de phishing em estágios múltiplos requer medidas de remediação além das típicas para comprometimento de identidade, como a redefinição de senhas. As organizações afetadas precisam revogar os cookies de sessão e desfazer as modificações na autenticação multifator (MFA) feitas pelo ator de ameaças. O incidente também destaca a importância da detecção proativa de ameaças para descobrir novas táticas, técnicas e procedimentos (TTPs) em campanhas anteriormente conhecidas, a fim de identificar e remediar esse tipo de ameaça.

Um novo e preocupante desenvolvimento no campo da cibersegurança surgiu com o anúncio de uma aliança entre dois agentes ameaçadores: KillNet e a Devils Sec.
O grupo menos conhecido Devils Sec está a colaborar com o KillNet, o notório grupo de DDoS e hacktivismo. O APT Devils Sec anunciou a aliança no seu canal no Telegram, declarando o apoio à Rússia na guerra cibernética em curso com a Ucrânia e com os países da OTAN (como Portugal).
Como um grupo pró-russo, o Killnet desde há muito tempo que tem como alvo países e organizações com agendas anti-russas. Devils Sec declarou que vão visar instalações sensíveis ligadas a entidades ucranianas, em colaboração com o Killnet.
De particular preocupação é o momento dessa declaração conjunta. O comunicado do grupo Devils Sec veio logo após o colapso da barragem de Kahkovka, uma grande barragem e central hidrelétrica no sul da Ucrânia ocupado pela Rússia.
O anúncio da Devils Sec sugere um esforço coordenado para explorar a situação e visar ainda mais a infraestrutura vulnerável da Ucrânia.