01 de junho de 2023

Hacker brasileiro foragido atacava empresas com ransomware

O Núcleo Especial de Combate aos Crimes Cibernéticos (NCYBER) emitiu um mandado de prisão no último mês para um operador de ransomware que está foragido. Segundo as autoridades, o hacker brasileiro, identificado como Matheus Martins Marques, utilizava o ransomware LockBit para sequestrar digitalmente arquivos em ataques tanto no Brasil quanto internacionalmente.

Banco BRB se torna vítima de ataque de ransomware e é chantageado

O Banco de Brasília (BRB) se tornou uma das vítimas dos ataques cibernéticos promovidos por Marques. De acordo com o NCYBER, após obterem clandestinamente as informações dos clientes da instituição financeira, os criminosos passaram a chantagear os gestores do BRB ameaçando divulgar os dados sigilosos na imprensa e na deep web. Para evitar a exposição, exigiram o pagamento de 50 bitcoins, o equivalente a aproximadamente R$5.273.772,22 na época.

Mandado de prisão emitido e detalhes da investigação

Informações obtidas de fontes anônimas revelam que Matheus Martins Marques está foragido desde então na cidade de Santos, litoral de São Paulo. Além disso, especula-se que o suposto cibercriminoso seja funcionário remoto da empresa norte-americana BairesDev.

A denúncia apresentada pelo Ministério Público do Distrito Federal e Territórios (MPDFT) detalha as descobertas feitas durante a investigação do incidente cibernético envolvendo o Banco BRB. Durante o período de 17/09/2022 a 13/10/2022, Marques e outros envolvidos invadiram repetidamente dispositivos informáticos do BRB, sem autorização, com o objetivo de obter dados e informações confidenciais e instalar vulnerabilidades para obter vantagens ilegais.

A denúncia revela que, após a invasão, os criminosos implementaram um script malicioso que permitiu a exfiltração de dados sigilosos dos clientes, resultando na obtenção de conteúdo de comunicações eletrônicas privadas e informações confidenciais. A brecha foi identificada ao explorar uma vulnerabilidade no ambiente VDI (Virtual Desktop Infrastructure) utilizado pelo BRB, conhecida como VMWARE WORKSPACE ONE.

Cerca de 210 credenciais foram coletadas

Segundo o NCYBER, os denunciados conseguiram coletar aproximadamente 210 credenciais de login e senha de funcionários do BRB que utilizavam a plataforma VDI para suas atividades diárias. Com posse dessas credenciais, iniciaram a segunda fase do ataque cibernético, direcionando o acesso aos dados do Banco de Brasília e instalando o ransomware conhecido como LockBit.

No entanto, o acesso definitivo às contas de serviço dos funcionários do BRB na plataforma VDI dependia não apenas das credenciais obtidas por meio da exploração da vulnerabilidade CVE n° 2022-22954, mas também do registro de uma linha telefônica para receber um token de acesso, atendendo aos requisitos de autenticação de duplo fator. Ao receber o token de acesso enviado via SMS para a nova linha telefônica cadastrada pelos acusados, qualquer uma das 210 contas de serviço usadas pelos funcionários do BRB no ambiente VDI poderia ser acessada e invadida.

Fábio Antônio Castro Sani e Matheus Martins Marques são os principais acusados

A investigação cruzou informações telefônicas e contas em redes sociais, levando à identificação dos suspeitos Fábio Antônio Castro Sani e Matheus Martins Marques. Segundo as autoridades, Fábio Sani era responsável pela parte técnica relacionada à invasão, enquanto Matheus Marques coordenava a extorsão e possuía o arquivo executável do ransomware LockBit.

Até o momento, o Banco BRB não havia confirmado a quantidade de arquivos sequestrados, mas agora a informação está disponível: 751 arquivos, totalizando 1,43 GB.

Condenações esperadas e estratégia adotada pelo Banco BRB

O NCYBER e o MPDFT, nas denúncias apresentadas, buscam que os acusados sejam responsabilizados pela reparação dos danos causados ao Banco BRB, incluindo correção monetária e juros moratórios desde a data do incidente, além de danos morais coletivos no valor de R$500 mil.

O Banco de Brasília optou por não efetuar qualquer pagamento aos criminosos, concentrando seus esforços na limpeza de seus ativos computacionais e se preparando para uma possível divulgação dos dados acessados, conforme informa a denúncia.

Mandado de prisão expedido e considerações sobre o ransomware LockBit

Com o hacker ainda foragido, o mandado de prisão foi emitido com a seguinte declaração: “Nessa linha, entendo que a decretação da prisão preventiva é a única medida cautelar cabível para resguardar a ordem pública, pois as demais providências menos gravosas são insuficientes para garantir a eficácia do processo penal (…) Qualificado nos autos, com base nos artigos 312 e 313 do Código de Processo Penal. Expeça-se mandado de prisão”.

O LockBit é uma família de malwares conhecidos como ransomwares, supostamente desenvolvidos por atacantes russos. No caso do ataque ao Banco de Brasília, foi utilizado como “ransomware as a service”, ou seja, um cibercriminoso paga pelo aluguel do programa para realizar os ataques.

Existe também uma segunda versão não confirmada: os supostos atacantes utilizaram uma versão antiga vazada do ransomware LockBit para realizar o sequestro digital.

Um ransomware atua como um sequestrador no mundo virtual, criptografando os arquivos de um sistema e exigindo um pagamento em criptomoedas para sua liberação. Esse tipo de vírus afeta tanto pessoas físicas quanto jurídicas, sendo as empresas o principal alvo desse tipo de ataque.

A Compugraf pode te apoiar com soluções de segurança da informação e privacidade de dados. Confira nosso portfólio! 

Para saber mais sobre cibersegurança visite nosso Blog e siga nosso Linkedin!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?