Um grupo de hackers brasileiro alega ter invadido a TransUnion South Africa, e por mais incrível que pareça, usando a senha “Password”.
A TransUnion South Africa divulgou que hackers invadiram um de seus servidores usando credenciais roubadas e exigiram um pagamento de resgate para não liberar dados roubados.
Grupo de hackers brasileiro alega ter invadido a TransUnion South Africa
A divisão africana da TransUnion opera em oito países africanos oferecendo seguros comerciais e ao consumidor e soluções de informações de risco em vários setores.
De acordo com o comunicado da empresa, uma pessoa não autorizada obteve acesso a um servidor sediado na África do Sul usando credenciais roubadas.
O infiltrado do sistema parece ter exfiltrado dados armazenados nesse servidor e depois extorquido a TransUnion exigindo um pagamento de resgate por não publicar os arquivos roubados. A empresa observou que não pagará o hacker.
A TransUnion South Africa diz que se envolveu com especialistas em segurança cibernética e especialistas forenses digitais para investigar o incidente. Eles também estão trabalhando com a aplicação da lei e os reguladores do país.
Por fim, a TransUnion acredita que o servidor violado contém apenas informações relevantes para os negócios sul-africanos, portanto, aqueles em Botsuana, Quênia, Namíbia, Ruanda, Suazilândia, Zâmbia e Malawi não são afetados por esse incidente.
“À medida que nossa investigação progride, notificaremos e ajudaremos indivíduos cujos dados pessoais possam ter sido afetados. Disponibilizaremos produtos de proteção de identidade gratuitamente aos consumidores afetados”, disse a TransUnion South Africa em comunicado sobre a violação de dados.
Um grupo de hackers brasileiro conhecido como “N4ughtysecTU” assumiu a responsabilidade pelo ataque e disse ao site BleepingComputer que baixou 4 TB de dados durante o ataque cibernético.
Os agentes da ameaça alegam ter violado um servidor TransUnion SFTP mal protegido e roubado dados contendo cerca de 54 milhões de clientes, principalmente da África do Sul. Ainda assim, registros de outros países também estão incluídos nos dados roubados.
O agente de ameaças “N4ughtysecTu” também nos disse que não roubou nenhuma credencial de usuário, mas realizou um ataque de força bruta no servidor SFTP. A conta que eles violaram supostamente estava usando a senha “Password”, então foi rápido e direto usar a força bruta.
Um relatório da NordVPN coloca “Password” como a quinta senha mais usada em 2021, levando menos de um segundo para força bruta.
Além disso, os hackers disseram à Bleeping Computer que definiram a demanda de resgate para US$ 15.000.000 em Bitcoin e ameaçaram extorquir os clientes da TransUnion exigindo um pagamento de “seguro” se um resgate não fosse pago.
O grupo de hackers afirma que o “seguro” para grandes clientes da TransUnion será de US$ 1.000.000, enquanto as empresas menores terão uma demanda menor de US$ 100.000.
Aqueles que pagam esse seguro supostamente terão seu conjunto de dados excluído da publicação pelo grupo de hackers.
Se você é um cliente da TransUnion na África do Sul, é altamente recomendável manter a calma e relatar quaisquer comunicações suspeitas não solicitadas às autoridades.
Para empresas que consideram pagar uma demanda de extorsão, a empresa de negociação de ransomware Coveware diz que não é incomum que os agentes de ameaças vazem dados roubados após o pagamento de um resgate ou até extorquem uma vítima usando os mesmos dados no futuro.
Em vez disso, a Coveware aconselha as empresas violadas a assumirem automaticamente que seus dados foram compartilhados entre vários agentes de ameaças e que serão usados ou vazados de alguma maneira no futuro, independentemente de terem pago.
Lee Naik, CEO da TransUnion South Africa, também está garantindo aos clientes que eles ajudarão todas as empresas cujos dados foram roubados durante o ataque.
Em comunicado à imprensa, Naik disse:
“A segurança e proteção das informações que mantemos é a principal prioridade da TransUnion. Entendemos que situações como essa podem ser perturbadoras e a TransUnion South Africa continua comprometida em ajudar qualquer pessoa cujas informações possam ter sido afetadas”.
