A instituição de investimento AGF+ sofreu um ataque cibernético na última semana de 2023.
Segundo um post em um fórum de cibercriminosos no dia 31 de dezembro, o ransomware Happy Blog conseguiu capturar dados de funcionários e clientes.
Em contato com o TecMundo, a AGF+ afirmou que as autoridades policiais já estão trabalhando no caso.
A instituição não pagou o resgate exigido pelos criminosos.
O Happy Blog é um domínio usado na internet pelos operadores do ransomware REvil.
No entanto, de acordo com as amostras que indicariam a infecção, o ransomware é nomeado com o mesmo nome de domínio - daí a classificação ambígua do tipo de malware.
Uma investigação policial está em andamento para apurar o crime.
De acordo com os criminosos e as amostras divulgadas ao público, os dados capturados incluem: códigos de aplicativos, nomes completos (clientes), endereços residenciais (clientes), números de telefone (clientes) e documentos e recibos de transações de ações.
Outras informações coletadas pelos operadores incluem: relatórios e balanços de ações (TRD), recibos de compras, listagem completa de ações B3 de clientes, autorizações OAuth B3, tokens B3, chaves SSH, chaves EC2, senhas RDS, banco de dados MySQL completo, chaves SSL, certificados "válidos até 2024", código-fonte do site, códigos de API, códigos parciais do aplicativo móvel, keystore do projeto Android e créditos de publicação.
É interessante notar que uma lista de clientes classificada entre "cachorrinho" e "lobo grande" também foi vazada.
A oferta do vazamento total, que agora está sendo feita em fórum porque a AGF+ não pagou o resgate, tem 120 GB de tamanho.
A amostra divulgada na última semana tem 2GB.
Os criminosos prometem revelar mais 30 GB na próxima semana e 90 GB para os usuários premium do fórum.
A AGF+, segundo seu site oficial, é uma investidora do mercado financeiro criada por Luiz Barsi Filho, economista e maior investidor individual brasileiro.
Em contato com o TecMundo, a instituição confirmou que as autoridades foram notificadas e que existe uma investigação.
Abaixo, você pode ver a posição completa da AGF+:
"Desde o início deste incidente, a AGF tem se empenhado em ser totalmente transparente e responsável.
Tomamos todas as medidas legais e técnicas necessárias para investigar profundamente o ocorrido.
Informamos proativamente nossos clientes e as autoridades competentes, incluindo a ANPD, sobre a situação.
Além disso, registramos um boletim de ocorrência e uma investigação policial está em andamento para apurar o crime.
Apesar das investigações intensivas, até agora, não encontramos evidências concretas que comprovem a extração de informações, exceto pelas fotos de telas fornecidas anonimamente.
Entendemos a gravidade das acusações e continuamos comprometidos em proteger a integridade dos dados de nossos clientes.
É importante enfatizar que, em linha com nossos princípios éticos e compromisso com a legalidade, AGF não fez e não fará qualquer tipo de pagamento em resposta a essa tentativa de extorsão.
Não compactuamos com o crime e acreditamos fortemente na importância de seguir os caminhos legais para resolver essas questões".
Há muitos arquivos publicados pelos cibercriminosos, entre eles, há um dump de e-mails com 26 mil endereços.
No entanto, não é possível estimar quantos clientes foram afetados pelo vazamento.
De acordo com as marcas de tempo presentes no vazamento, ainda é possível determinar que a infecção do ransomware ocorreu especificamente na madrugada do dia 11 de dezembro.
No momento, não se sabe como o sistema da AGF+ foi infectado.
O ransomware é um tipo de malware "sequestrador".
Ao invadir um sistema, ele realiza uma criptografia e captura as informações presentes.
Além disso, os administradores desse sistema ficam impossibilitados de realizar qualquer operação.
Por outro lado, os cibercriminosos que operam o ransomware geralmente exigem um pagamento para liberar o sistema.
Atualmente, a captura total dos dados está sendo vendida em um fórum e as autoridades policiais estão investigando o caso.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...