.
O grupo de ransomware Rhysida afirma ter sido responsável pelo ataque cibernético ao revendedor de iates de luxo dos EUA, MarineMax, no início deste mês.
A MarineMax, que registou receitas multibilionárias no ano passado, revelou um ataque cibernético à Comissão de Valores Mobiliários (SEC) em 10 de março, dizendo que partes dos seus negócios foram interrompidas como resultado das medidas de contenção que promulgou.
Na época, a empresa de Clearwater, Flórida, não mencionou qualquer envolvimento com ransomware, e suas operações teriam “continuado ao longo deste assunto em todos os aspectos materiais”.
O Formulário 8-K arquivado na SEC no início deste mês afirma: “A Empresa não mantém dados confidenciais no ambiente de informações impactado pelo incidente”.
Rhysida postou esta semana em seu site um trecho dos dados que afirma ter roubado da MarineMax, mas as montagens de documentos não revelam de forma clara ou conclusiva sua natureza. A maioria dos documentos vazados parece estar relacionada a contas e finanças.
Perguntamos aos criminosos se eles poderiam confirmar exatamente que tipo de dados alegaram ter obtido do MarineMax, mas eles não responderam imediatamente.
Como é típico do grupo, a Rhysida afirma que está realizando um leilão de sete dias em seu site. Se receber uma oferta que considere justa pelo valor dos dados que alega ter roubado, irá vendê-los a um único terceiro numa base de exclusividade, em vez de os tornar públicos.
Este método funciona essencialmente como um segundo meio de monetizar uma suposta violação caso a vítima se recuse a pagar. No cenário usual de ransomware de dupla extorsão, o invasor solicita um resgate e, em seguida, despeja os dados roubados online se a vítima não pagar.
A Rhysida provavelmente ainda tornaria os dados públicos se não receber uma oferta satisfatória – o preço atual é definido em 15 Bitcoin (US$ 1,007 milhão) – mas o leilão oferece um pagamento potencial do plano B que outros grupos raramente utilizam.
“Com apenas sete dias, aproveite a oportunidade para fazer lances em dados exclusivos, únicos e impressionantes”, diz o site.
“Abram suas carteiras e estejam prontos para comprar dados exclusivos. Vendemos apenas para uma mão, não revendemos, você será o único dono!”
A MarineMax negocia barcos novos e usados, corretora de iates e se comercializa como “a maior empresa de serviços de barcos de recreio, iates e super iates do mundo”.
Dada a natureza do seu negócio e o valor dos produtos com que lida, a sua clientela é provavelmente composta por pessoas com rendimentos elevados e elites ricas – indivíduos que não estariam muito interessados em ter quaisquer dados sensíveis e informações contabilísticas nas mãos de criminosos.
Se os dados roubados por Rhysida realmente incluíssem esse tipo de informação, seria fácil argumentar que eles estavam avaliados em 15 Bitcoin (US$ 1,007 milhão), dadas as potenciais campanhas de phishing e fraude financeira que os malfeitores poderiam realizar.
Leitores ávidos de Strong The One lembrará que Rhysida foi responsável pelo ataque à Biblioteca Britânica no ano passado – um ataque do qual a instituição nacional ainda tenta se recuperar. Ainda é o maior escalpo da gangue até hoje.
Pouco depois do incidente, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) publicou um extenso relatório sobre o grupo, aumentando a conscientização sobre seus comportamentos típicos para que as organizações possam tapar quaisquer brechas que ele explora regularmente.
A CISA afirma ver semelhanças entre as operações do grupo, batizado em homenagem a um gênero de centopéia, e as da gangue de ransomware Vice Society. Também é conhecido por acessar remotamente redes de vítimas sem MFA usando credenciais roubadas, fazendo phishing de funcionários ou explorando vulnerabilidades como o Zerologon. ®
.
