Ransomware publica dados bancários da Chilli Beans

Em dois dias, Prometheus anunciou três vítimas brasileiras, incluindo a franquia de acessórios Chilli Beans.


17/06/2021
Compartilhe
Ransomware publica dados bancários da Chilli Beans

Os operadores do ransomware Prometheus estão focando em países da América do Sul, especialmente no Brasil. Nos últimos três dias, o grupo anunciou três vítimas no país: ontem, foram a franquia de acessórios de moda Chilli Beans e o Sincor (sindicato dos corretores de seguros e capitalização do Estado de São Paulo); ontem, foi a Master Publicidade, de Curitiba. Nos três casos, os cibercriminosos publicaram dados sensíveis das organizações para comprovar a invasão das redes, incluindo informações relacionadas às finanças das três. No caso da Chilli Beans, publicaram inclusive uma planilha que contém movimentações bancárias.

Além dessas vítimas, o Prometheus já incluiu em sua lista as empresas brasileiras Paraty Capital, de São Paulo; Medicar, de Ribeirão Preto; Metalgráfica Cearense, de Fortaleza; e Sprink, do Rio de Janeiro. O site dos criminosos afirma que a Medicar pagou resgate. Apenas quatro vítimas pagaram até o momento, de acordo com o site do grupo. Os outros três são uma empresa agrícola peruana e organizações de transporte e logística na Áustria e Cingapura. Não há informações sobre os valores do resgate.

O Prometheus utiliza táticas de extorsão dupla: no seu site de vazamentos, ele informa a identidade das novas vítimas e publica dados roubados disponíveis para venda a outros cibercriminosos ou para forçar o pagamento. O grupo afirma ter violado 30 organizações de governos, serviços financeiros, manufatura, logística, consultoria, agricultura, serviços de saúde, agências de seguros, energia e escritórios de advocacia nos Estados Unidos, Reino Unido e mais uma dúzia de países na Ásia, Europa, Oriente Médio e América do Sul.

A Unit 42 da Palo Alto Networks vem acompanhando o grupo desde seu aparecimento e comenta que o Prometheus afirma fazer parte da gangue de ransomware REvil. No entanto, ele usa malware e táticas semelhantes ao ransomware Thanos, dizem relatórios da Unit 42; os especialistas não têm nenhuma indicação de que essas duas gangues de ransomware estejam relacionadas de alguma forma. A declaração dos cibercriminosos pode ser uma tentativa de explorar o nome do REvil para persuadir as vítimas a pagar ou para desviar a atenção do Thanus.

Por CISO Advisor

Outros posts + Lista completa