Um grupo cibercriminoso que se autodenomina Dragon Force indicou hoje, em seu site de vazamentos, ter aberto para download um total de 394 GB de dados que o grupo sugere ter sido roubados da empresa brasileira C&M Software, especializada em software para o mercado financeiro. No dia 22 de novembro, sábado da semana passada, o grupo publicou, nesse site, um post com a alegação de que havia se apoderado esses dados. A publicação foi ilustrada com uma cópia do logotipo da empresa, e contém uma descrição sobre ela, além de seu endereço físico. Numa barra vermelha, o grupo publicou a frase “Publicação: 4 Dias” e um contador regressivo de tempo, indicando quanto tempo falta para a publicação dos dados. Ao lado de um ícone de pasta de arquivos foi publicada a anotação “393,92 GB”, demonstrando que esse seria o volume de dados em poder dos cibercriminosos.
Agora, a barra é verde e contém a frase “Arquivos publicados: clique aqui para ir”, citação onde os arquivos podem ser encontrados. Um clique leva a uma página onde há uma versão ampliada do mesmo post, mas um clique no “clique aqui para ir” abre uma nova tela, onde há quatro links, sendo um de retorno à página anterior (Voltar para outros clientes), um chamado “CMSW/” e um chamado “search_index.gz”. Este último permite o download de um arquivo em formato txt onde está listado uma árvore de diretórios com 467.736 linhas – derivado do conjunto de arquivos que estariam no poder dos cibercriminosos.
O CISO Advisor não conseguiu confirmar se a alegação dos cibercriminosos contém algum fato: no momento em que esta reportagem foi escrita, conseguimos baixar apenas o arquivo contendo a árvore de diretórios. Todas as tentativas de baixar o arquivo maior se encerraram com timeout, indicando, possivelmente, excesso de rotas de download.
No dia 24 de Novembro, depois de tomar conhecimento da existência do post, o CISO Advisor pediu informações à CMSW, que respondeu com o seguinte comunicado:
Nas últimas horas circularam publicações revelando a existência de um novo vazamento relacionado ao CMSW. Após análise interna e revisão dos logs de segurança, confirmamos que não há qualquer evidência de novo acesso indevídeo aos nossos ambientes.
O material incluído nessas postagens corresponde aos arquivos que concluímos relacionados ao incidente de 30 de junho, antes das correções profundas, da implementação das novas resoluções do Banco Central do Brasil e dos reforços de segurança realizados nas semanas seguintes.
Nosso ambiente permanece íntegro, monitorado e operando normalmente. Seguimos em total transparência com clientes, reguladores e parceiros, mantendo os mesmos padrões de
segurança, disponibilidade e governança que norteiam nossas operações”.
A CMSW, empresa que fornece software de BaaS para o sistema financeiro do Brasil, foi vítima, em 30 de junho deste ano, de um ataque cibernético iniciado com o compartilhamento de credenciais por parte de um funcionário da empresa. Nesse incidente, recursos de transferência de valores da CMSW foram utilizados ilegalmente por agentes de uma organização criminosa. As transferências somaram cerca de R$ 800 milhões.
