{"id":17127,"date":"2021-03-15T19:38:15","date_gmt":"2021-03-15T22:38:15","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17127"},"modified":"2021-03-15T20:03:37","modified_gmt":"2021-03-15T23:03:37","slug":"accellion-fta-data-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/accellion-fta-data-leaks\/17127\/","title":{"rendered":"Quando dados roubados s\u00e3o publicados online"},"content":{"rendered":"

No final do ano passado, surgiram informa\u00e7\u00f5es online sobre ataques a empresas usando o desatualizado Accellion File Transfer Appliance (FTA). Alguns cibercriminosos usaram vulnerabilidades do aplicativo para roubar dados confidenciais, usando a amea\u00e7a de vazamento para extorquir as v\u00edtimas. Infelizmente, eles cumpriram a palavra.<\/p>\n

Qual \u00e9 a vulnerabilidade?<\/h2>\n

O Accellion FTA \u00e9 um dispositivo de rede implantado pelas empresas para entrega r\u00e1pida e f\u00e1cil de arquivos grandes. Com 20 anos, a solu\u00e7\u00e3o deve ser aposentada este ano, e os desenvolvedores h\u00e1 muito pedem uma migra\u00e7\u00e3o para produtos mais atualizados.<\/p>\n

Em dezembro de 2020, a descoberta de duas vulnerabilidades \u2013 CVE-2021-27101<\/a> e CVE-2021-27102<\/a> \u2013 na solu\u00e7\u00e3o permitiu aos invasores obter acesso aos arquivos carregados para dispositivos FTA. As vulnerabilidades foram resolvidas, mas em janeiro de 2021 mais duas (CVE-2021-27103<\/a> e CVE-2021-27104<\/a>) foram descobertas e corrigidas<\/a>.<\/p>\n

No entanto, os invasores conseguiram roubar os dados de v\u00e1rios usu\u00e1rios do Accellion FTA. V\u00e1rias reportagens<\/a> de grande destaque na imprensa foram publicadas sobre os vazamentos. Aparentemente, nem todas as v\u00edtimas concordaram em pagar o resgate, ent\u00e3o os agressores cumpriram com sua amea\u00e7a de compartilhar os dados que haviam roubado.<\/p>\n

Como os cibercriminosos publicam dados<\/h2>\n

Recentemente, registramos e-mails em massa com o objetivo de comprometer a reputa\u00e7\u00e3o das v\u00edtimas aos olhos de funcion\u00e1rios, clientes e parceiros, bem como de concorrentes. A extens\u00e3o dos e-mails e as fontes dos endere\u00e7os n\u00e3o s\u00e3o conhecidas com certeza, mas parece que os cibercriminosos estavam tentando alcan\u00e7ar o m\u00e1ximo de telespectadores que podiam.<\/p>\n

\"E-mail

E-mail dos invasores para funcion\u00e1rios, clientes, parceiros e concorrentes<\/p><\/div>\n

\u00a0<\/p>\n

As mensagens pediam aos destinat\u00e1rios que usassem o navegador Tor para visitar um site .onion e alegavam que o site recebia dezenas de milhares de acessos por dia. Entre os supostos visitantes: todos os tipos de hackers e jornalistas capazes de causar danos ainda maiores \u00e0 infraestrutura e \u00e0 reputa\u00e7\u00e3o de uma empresa. Curiosamente, o site pertence ao grupo CL0P, especializado em ransomware, embora nos ataques por meio das vulnerabilidades do Accellion FTA, os arquivos n\u00e3o tenham sido criptografados. Os hackers, ao que parece, apenas aproveitaram a oportunidade e tiraram proveito dessa plataforma.<\/p>\n

Claro, o objetivo \u00e9 intimidar outras v\u00edtimas. A prop\u00f3sito, tanto o e-mail quanto o site cont\u00eam detalhes para entrar em contato com os invasores para que os arquivos publicados sejam removidos, embora n\u00e3o fa\u00e7a muito sentido uma vez que as informa\u00e7\u00f5es j\u00e1 estejam dispon\u00edveis.<\/p>\n

Tamb\u00e9m \u00e9 importante ressaltar que o site apresenta um an\u00fancio oferecendo aulas para administradores sobre como fechar as vulnerabilidades por meio das quais os dados foram roubados \u2013 por U$ 250 mil em bitcoin.<\/p>\n

\"Ofere\u00e7a-se

Oferta para ajudar v\u00edtimas em potencial a evitar o mesmo destino<\/p><\/div>\n

\u00a0<\/p>\n

Duvidamos que algu\u00e9m v\u00e1 cair nessa. Para come\u00e7ar, os desenvolvedores j\u00e1 lan\u00e7aram vers\u00f5es atualizadas do Accellion FTA e, de qualquer maneira, pedir ajuda \u00e9 o mesmo que admitir que voc\u00ea n\u00e3o pode fechar a vulnerabilidade e que ela ainda pode ser explorada.<\/p>\n

Como proteger sua empresa contra esses ataques<\/h2>\n