Novas supostas violações: Dados do cliente do Banco Banten, Código Fonte da Deloitte e Totalenergies França
A atividade cibercriminal na Web Dark continua a destacar a vulnerabilidade de organizações e dados pessoais. Nesta semana, a equipe da Web Dark da Socradar rastreou vários incidentes de alto perfil: duas postagens separadas de publicidade do Banco Banten Data e ATM Data, um suposto vazamento de código-fonte vinculado à divisão de consultoria dos EUA da Deloitte e à venda de um conjunto de dados maciça supostamente vinculado à Totalnergies France. As descobertas adicionais incluem um ator de ameaças que recruta parceiros de marketing para campanhas agressivas de mensagens em massa, refletindo a natureza cada vez mais profissionalizada e direcionada das operações subterrâneas de crime cibernético.
Receba um relatório gratuito da Web Dark para sua organização:
Suposto banco de dados de bancos Banten está à venda
A equipe da Socradar Dark Web observou duas postagens separadas no mesmo fórum subterrâneo, ambos supostamente oferecendo dados roubados do Bank Banten, um banco de desenvolvimento regional da Indonésia. As postagens foram compartilhadas por diferentes atores de ameaças no mesmo dia.
No primeiro post, o ator de ameaças afirma ser vendendo um banco de dados contendo aproximadamente 16 milhões de registros vinculados ao Bankbanten.co.id. O conjunto de dados supostamente inclui detalhes do cartão, dados individuais, registros do usuário, informações do cartão ATM e registros bancários internos (BPI e IATM).
O segundo post, escrito em inglês e russo, também oferece dados supostamente provenientes do Bank Banten. O fornecedor afirma que a violação afeta mais de 10 milhões de usuários e contém detalhes confidenciais semelhantes aos listados no primeiro post.
Os tipos de dados quase idênticos e o tempo aumentam várias possibilidades:
- Fonte compartilhada: Ambos os atores podem ter obtido os dados da mesma violação inicial ou fornecedor de terceiros e agora estão tentando vendê-los de forma independente para maximizar o lucro ou a reputação.
- Re-applar pelo mesmo ator usando aliases diferentes: É possível que um ator de ameaça único esteja usando várias identidades para promover o mesmo conjunto de dados, com o objetivo de aumentar a visibilidade ou criar um falso senso de demanda.
- Acesso parcial ao mesmo conjunto de dados: Cada ator pode ter adquirido apenas partes do conjunto de dados completo, resultando em ofertas sobrepostas, mas não idênticas.
- Diferentes estágios do ciclo de vida da violação: Um ator pode ser o vazador original, enquanto o outro é um revendedor ou agregador que reembalou e repositou as informações.
- Conteúdo fabricado ou reciclado: Pelo menos uma das postagens pode conter dados reciclados ou fabricados, alavancando o nome de uma instituição real para atrair compradores sem ter acesso genuíno.
Validação adicional, incluindo a análise de amostras compartilhadas e metadados, seria obrigado a confirmar a origem e a autenticidade dos dados.
Suposto código -fonte da Deloitte vazou
A equipe da Socradar Dark Web detectou um post da Web Dark supostamente expondo dados internos da Deloitte.
O ator de ameaças afirma que os sistemas da Deloitte foram comprometidos, levando ao vazamento de credenciais do GitHub e ao código -fonte dos repositórios internos de projetos vinculados à divisão de consultoria dos EUA da empresa. Se genuíno, as credenciais expostas poderiam permitir o acesso não autorizado à infraestrutura de desenvolvimento da Deloitte e ao software proprietário.
O alias usado no post corresponde ao de um membro anteriormente ativo no Breachforums. No entanto, o Breachforums está atualmente offline e permanece incerto se a postagem está vinculada ao mesmo indivíduo ou simplesmente uma alça reutilizada. A autenticidade e o impacto do vazamento ainda não foram verificados.
Os dados supostos do total de energia da França estão à venda
A equipe da Socradar Dark Web identificou uma postagem em um fórum da Web Dark, oferecendo um grande conjunto de dados supostamente vinculado ao Totalenergies France.
O ator de ameaças afirma manter mais de 22 milhõesincluindo dados do usuário relacionados a serviços de eletricidade e gás. O conjunto de dados é anunciado como exclusivo e limitado a cinco compradores, com contato fornecido via telegrama e qtox. O ator de ameaças também afirma ter violado outro provedor de energia que opera na França, Wekiwi, e afirma que seus dados serão publicados em breve.
A nova postagem de pesquisa de parceria é detectada
A Socradar Dark Web Team detectou um post de recrutamento em um fórum de hackers que buscava um parceiro com experiência em operações agressivas de marketing e correspondência em massa.
O ator de ameaças está procurando alguém capaz de atingir o público -alvo por meio de canais como Telegram, WhatsApp, Viber e Email, com foco na eficiência. As responsabilidades incluem o gerenciamento de campanhas de mensagens em massa, o fornecimento de bancos de dados de correspondência com ênfase na Ásia Central e desenvolver estratégias de marketing não convencionais.
A redação do post indica uma mudança nas táticas cibercriminais, à medida que os atores de ameaças adotam cada vez mais métodos de marketing profissional para expandir seu alcance. O foco em estratégias “inovadoras” e “agressivas” sugere uma disposição de atravessar limites éticos e legais. Ao direcionar indivíduos qualificados na aquisição de dados e divulgação digital, o ator de ameaças parece estar construindo uma equipe capaz de executar campanhas de alto volume envolvendo phishing, fraudes ou distribuição de malware.
Alimentado por DarkMirror
Ganhar visibilidade em ameaças da Web profunda e escura pode ser extremamente útil de uma inteligência de ameaças acionável e perspectiva de proteção de risco digital. No entanto, o monitoramento de todas as fontes simplesmente não é viável, o que pode ser demorado e desafiador. Um clique por matake pode resultar em infecção por bot de malware. Para enfrentar esses desafios, a tela DarkMirror da Socradar capacita sua equipe do SOC a acompanhar as últimas postagens de atores e grupos de ameaças filtrados pelo país ou indústria alvo.
