O grupo de ransomware Everest invadiu os sistemas da Under Armour e roubou 343 GB de dados internos, incluindo informações pessoais de milhões de clientes. Para provar a invasão, o grupo publicou amostras na dark web e usou uma tática de dupla extorsão com prazo de sete dias para negociação.
Os dados roubados abrangem histórico de compras, preferências dos clientes, dados de localização, informações detalhadas do catálogo de produtos e registros de marketing. O grupo ameaça divulgar as informações caso a empresa não entre em contato pelo protocolo criptografado Tox messenger.
Esse tipo de ataque coloca as vítimas sob pressão mesmo com backups, já que o risco de exposição pública dos dados é alto. Clientes da Under Armour devem ficar atentos a possíveis tentativas de phishing e reforçar a segurança das suas contas para evitar prejuízos.
O grupo de ransomware Everest declarou ter violado os sistemas da Under Armour, comprometendo 343 GB de dados internos. Entre as informações roubadas, estariam dados pessoais de milhões de clientes em diversas localidades. Para validar a alegação, o grupo publicou amostras dos dados no seu site na dark web.
A tática do grupo Everest envolve invadir os sistemas da empresa-alvo, extrair uma grande quantidade de dados e estipular um prazo para negociação. No caso da Under Armour, o prazo foi de sete dias, com instruções para que um representante entrasse em contato via Tox messenger, um protocolo de mensagens criptografadas peer-to-peer, que dificulta o rastreamento da comunicação.
Para aumentar a pressão, o grupo adicionou um contador regressivo, sinalizando que, caso a empresa não responda ou se recuse a pagar o resgate, os dados serão divulgados publicamente. A amostra dos dados roubados impressiona pela quantidade e qualidade das informações, que incluem histórico de compras dos clientes, com detalhes como data e hora das transações.
Além disso, foram obtidos identificadores de produtos, preços, quantidades, registros de preferências de lojas, dados de localização dos compradores, logs de campanhas de marketing e deep link tracking entries. Esses deep links revelam como os clientes interagem com as campanhas, direcionando-os a produtos específicos dentro do aplicativo.
Os dados extraídos também abrangem registros detalhados do catálogo de produtos, com informações como SKU (código único de identificação), nome, tipo, categoria, tamanho, cor, preços, disponibilidade, avaliações dos usuários, descrições em vários idiomas e links regionais. A amplitude dos dados sugere que os invasores comprometeram sistemas de backend centrais, como CRM ou plataformas de marketing automation, que integram informações de vendas, marketing e relacionamento com o cliente.
Esses sistemas contêm dados dos clientes, como emails, nomes, status de consentimento para marketing, preferências de idioma e registros de quando essas informações foram solicitadas. A combinação de inteligência comercial com o comportamento individual dos usuários torna esses dados valiosos para concorrentes e cibercriminosos. O grupo Everest emprega uma tática de dupla extorsão, que consiste em roubar os dados antes de criptografá-los, usando a ameaça de vazamento como alavanca adicional.
Essa abordagem coloca as empresas em uma posição delicada, pois mesmo que possuam backups e consigam recuperar os dados criptografados, o risco de exposição pública das informações sensíveis persiste. Essa prática aumenta a pressão para que as empresas negociem, mesmo quando tecnicamente poderiam se recuperar do Ataque ransomware Under Armour.
O Everest tem um histórico de vazar dados quando as empresas se recusam a negociar, como no caso do banco de dados do site de carreiras da AT&T, com mais de meio milhão de registros de usuários, além de 1,5 milhão de registros de passageiros do Aeroporto de Dublin e dados internos de um parceiro engarrafador da Coca-Cola.
Diante desse cenário, é crucial que os clientes da Under Armour fiquem atentos a possíveis campanhas de phishing disfarçadas de alertas oficiais da empresa. Os cibercriminosos podem se aproveitar da situação para enviar emails falsos solicitando atualização de senhas ou downloads de arquivos maliciosos.
Recomenda-se monitorar as atividades nas contas e extratos bancários, trocar as senhas associadas à Under Armour, habilitar a autenticação de dois fatores e ter cautela com emails que solicitem ações urgentes. Em caso de dúvida, o ideal é acessar o site oficial da empresa digitando o endereço diretamente no navegador, em vez de clicar em links de emails.
Via TecMundo
