.
A tendência de equipes de ransomware alegando vender dados roubados de forma privada em vez de vazá-los online continua com a Rhysida comercializando os dados supostamente pertencentes ao Porto de Seattle por 100 Bitcoins (cerca de US$ 5,9 milhões).
O grupo Rhysida, do qual os leitores podem se lembrar O Registro relatando o ataque à Biblioteca Britânica no ano passado, afirma ter roubado mais de 3 TB de dados e exposto documentos de amostra para “provar” isso.
Entre os dados que os criminosos dizem ter roubado do Porto de Seattle estavam nomes completos, números de previdência social, datas de nascimento, endereços residenciais, números de telefone, alturas e pesos, cores de cabelo e olhos, assinaturas e digitalizações de passaportes.
Rhysida também afirma ter as credenciais de login interno dos funcionários da agência portuária, bem como uma miscelânea de outros dados pessoais de funcionários e civis.
A decisão do grupo de leiloar os dados em vez de vazá-los segue de certa forma os passos do grupo Meow, que recentemente mudou o foco para a extorsão pura e a venda dos dados que rouba.
O RansomHub, o atual grupo líder em ransomware, também testou essa tática quando atingiu a gigante dos leilões Christie’s, embora isso pareça ter sido uma mudança tática única e não completa, em direção ao leilão de dados em vez de vazá-los.
Falando com O Registro na semana passada, Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Research, expressou suas dúvidas sobre a estratégia e quão lucrativa ela pode ser para os cibercriminosos.
“Neste ponto, não temos certeza de que seja um movimento lucrativo em vez de um movimento orientado para RP/marketing”, ele disse. “Provavelmente foi feito para se diferenciar de outros grupos e aplicar mais pressão sobre as vítimas para pagá-los.
“Duvidamos que seja realmente lucrativo, pois em muitos casos as informações das vítimas são vendidas, o que não é extremamente lucrativo e não pode ser acionado por outros agentes de ameaças.”
O lado do porto
O Porto de Seattle – o escritório do governo local que supervisiona o porto e o aeroporto de Seattle – confirmou que foi vítima de um ataque de ransomware em uma atualização abrangente e revigorante do incidente publicada em seu site na sexta-feira.
Ao fazer isso, também respondeu a várias outras perguntas sobre a invasão, incluindo uma rara resposta direta sobre se um pagamento de resgate foi feito.
“Sim, este incidente foi um ataque de ransomware pela organização criminosa conhecida como Rhysida”, diz a atualização. “Os esforços que nossa equipe fez para impedir o ataque em 24 de agosto de 2024 parecem ter sido bem-sucedidos. Não houve nenhuma nova atividade não autorizada nos sistemas do Porto desde aquele dia. Permanecemos em alerta máximo e monitoramos continuamente nossos sistemas.
“O Porto se recusou a pagar o resgate exigido e, como resultado, o ator pode responder publicando dados que ele alega ter roubado em seu site na dark web.”
Respond Rhysida fez. Junto com o trecho de documentos vazados contendo vários pontos de dados, ele também compartilhou o que alega ser uma captura de tela de um e-mail enviado pelo Porto oferecendo um pagamento de US$ 750.000 pelos dados roubados, mas isso contradiz a declaração do Porto sobre o assunto.
A suposta oferta de pagamento, que era significativamente menos valiosa do que o preço de 100 Bitcoins que Rhysida colocou publicamente no conjunto de dados, pode não ter incluído o pagamento por um descriptografador, já que o Porto confirmou que foi capaz de impedir o ataque e está atualmente no processo de restauração dos serviços.
O Porto de Seattle afirma que tanto o porto quanto o Aeroporto Internacional de Seattle-Tacoma (SEA) são seguros para uso e viagens, embora alguns serviços permaneçam inativos e outros tenham sido restaurados apenas de forma temporária.
“Nossa investigação determinou que o agente não autorizado conseguiu obter acesso a certas partes de nossos sistemas de computador e criptografar o acesso a alguns dados”, afirmou.
“Tomamos medidas para bloquear outras atividades, incluindo desconectar nossos sistemas da internet, mas, infelizmente, a criptografia e nossas ações de resposta prejudicaram alguns serviços do porto, incluindo bagagem, quiosques de check-in, emissão de bilhetes, Wi-Fi, painéis de exposição de passageiros, o site do Porto de Seattle, o aplicativo flySEA e estacionamento reservado.
“Nossa equipe conseguiu colocar a maioria desses sistemas online novamente em uma semana, embora o trabalho para restaurar alguns sistemas, como nosso site externo e portais internos, ainda esteja em andamento.”
Não há uma data estimada para o retorno total ao serviço – a prioridade é a restauração segura dos sistemas, não importa o tempo que leve – mas o Porto se comprometeu a continuar fornecendo atualizações regulares.
Este processo envolverá melhorias em sua postura de segurança, incluindo o aprimoramento dos controles e monitoramento existentes e protocolos de autenticação e gerenciamento de identidade reforçados. ®
.
