O grupo de hackers ShinyHunters afirma ter invadido os sistemas da empresa de cibersegurança Resecurity e roubado dados internos.
Por sua vez, a Resecurity contesta a alegação, afirmando que os invasores acessaram apenas um honeypot, um ambiente falso e monitorado criado para atrair e estudar ações maliciosas, que continha informações fictícias.
Hoje, os criminosos publicaram no Telegram capturas de tela supostamente da invasão, alegando ter obtido dados de funcionários, comunicações internas, relatórios de inteligência sobre ameaças e informações de clientes.
“Gostaríamos de anunciar que obtivemos acesso total aos sistemas da REsecurity”, escreveu o grupo no Telegram, afirmando ter roubado “todos os chats e logs internos”, “dados completos dos funcionários”, “relatórios de inteligência sobre ameaças” e uma “lista completa de clientes com detalhes”.
Como prova, divulgaram imagens que mostrariam uma instância do Mattermost, plataforma de colaboração, com conversas entre funcionários da Resecurity e da Pastebin, relacionadas a conteúdos maliciosos hospedados na plataforma de compartilhamento de textos.
Os autores, que se autodenominam “Scattered Lapsus$ Hunters” devido à suposta conexão entre os grupos ShinyHunters, Lapsus$ e Scattered Spider, afirmam que o ataque foi uma retaliação contra tentativas contínuas da Resecurity de aplicar engenharia social para investigar o grupo.
Segundo os invasores, funcionários da Resecurity teriam se passado por compradores interessados na venda de um suposto banco de dados financeiro do Vietnã, buscando amostras gratuitas e mais informações.
A Resecurity nega as acusações do ShinyHunters e explica que os sistemas supostamente atacados não fazem parte da infraestrutura real da empresa.
Trata-se, na verdade, de um honeypot criado para atrair e monitorar agentes maliciosos.
Após contato da imprensa, a Resecurity compartilhou um relatório publicado em 24 de dezembro, que relata ter detectado a primeira atividade suspeita em 21 de novembro de 2023, quando um ator ameaçador começou a sondar seus sistemas expostos publicamente.
O time de DFIR (Digital Forensics and Incident Response) da empresa identificou esses primeiros sinais de reconhecimento e registrou múltiplos endereços IP vinculados ao atacante, incluindo conexões originadas do Egito e por meio do serviço de VPN Mullvad.
Como resposta, a companhia implantou uma conta honeypot em um ambiente isolado, permitindo que o invasor acessasse sistemas com dados falsos de funcionários, clientes e pagamentos, enquanto os pesquisadores monitoravam suas ações.
Um honeypot é uma armadilha digital exposta e controlada para enganar invasores, oferecendo a oportunidade de estudar suas táticas sem comprometer dados reais ou a infraestrutura legítima.
A Resecurity preencheu esse ambiente com conjuntos sintéticos que simulavam dados reais de negócios, incluindo mais de 28 mil registros falsos de consumidores e mais de 190 mil registros sintéticos de transações financeiras, todos baseados no formato oficial da API da Stripe.
De acordo com a empresa, o atacante tentou automatizar a extração de dados em dezembro, realizando mais de 188 mil requisições entre os dias 12 e 24, usando diversos IPs de proxies residenciais.
Durante essa operação, a Resecurity coletou informações valiosas sobre táticas, técnicas e infraestrutura utilizadas pelo invasor.
A empresa relata ainda que, devido a falhas nas conexões por proxies, o atacante acabou expondo seus endereços IP reais em diversas ocasiões — informações que já foram repassadas às autoridades policiais.
Observando a continuidade das atividades, a Resecurity adicionou mais dados falsos para aprofundar a análise do comportamento do invasor, o que levou a novas falhas operacionais (OPSEC) por parte dele, facilitando a identificação da infraestrutura usada.
Posteriormente, a empresa localizou os servidores responsáveis pela automação do ataque via proxies residenciais e compartilhou esses dados com a polícia.
“Após rastrear o ator usando inteligência de rede e registros de horários, uma organização estrangeira de aplicação da lei, parceira da Resecurity, emitiu uma solicitação formal de investigação relacionada ao ator malicioso”, informou a empresa.
Até o momento, o grupo ShinyHunters não apresentou novas provas, limitando-se a publicar no Telegram que mais informações serão divulgadas em breve.
“Boa resposta, Resecurity. Mais informações em breve!”, escreveu o grupo em sua última postagem.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...