Agência de investimento AGF+ sofre ataque de ransomware e vazamento
Atualmente, a captura completa dos dados é vendida em fórum e as autoridades policiais investigam o caso.
A instituição de investimento AGF+ foi vítima de um ataque cibernético. De acordo com publicação em fórum cibercriminoso, o ransomware Happy Blog teve sucesso ao capturar dados de funcionários e clientes.
O Happy Blog é um domínio utilizado na internet pelos operadores do ransomware REvil. No entanto, por meio das amostras que provariam a infecção, o ransomware está batizado com o mesmo nome de domínio – por isso a classificação ambígua do tipo de malware.
Segundo os criminosos e amostras divulgadas ao público, entre os dados capturados estão: códigos de aplicações, nomes completos (clientes), endereço residencial (clientes), número telefônico (clientes), documentos e recibos de transações de ações.
Outras informações coletadas ainda incluem, de acordo com os operadores: relatórios e balanços de ações (TRD), recibos de compras, lista completa de ações B3 de clientes, autorizações OAuth B3, tokens B3, chaves SSH, chaves EC2, senhas RDS, base de dados MySQL completa, chaves SSL, certificados “válidos até 2024”, código-fonte do site, códigos de API, códigos parciais da aplicação móvel, keystore do projeto Android e créditos de publicação.
É interessante notar ainda que foi vazada uma lista de clientes classificados entre “viralata pequeno” até “lobo grande”.
A oferta do vazamento completo, que agora ocorre em fórum porque a AGF+ não pagou o ransomware, possui tamanho de 120 GB. A amostra divulgada na última semana conta com 2GB. Os criminosos prometem revelar mais 30 GB na próxima semana e 90 GB para usuários premium do fórum.
A AGF+, de acordo com seu site oficial, é uma investidora do mercado financeiro criada por Luiz Barsi Filho, economista e maior investidor individual brasileiro.
“Desde o início deste incidente, o AGF tem se comprometido com a mais alta transparência e responsabilidade. Tomamos todas as medidas legais e técnicas necessárias para investigar a fundo o ocorrido. Informamos proativamente nossos clientes e autoridades competentes, incluindo a ANPD, sobre a situação. Além disso, registramos boletim de ocorrência e está em andamento uma investigação policial em para apuração do ilícito.
Apesar das investigações intensivas, até o momento, não encontramos evidências concretas que comprovem a extração de informações, exceto pelas fotos de telas fornecidas anonimamente. Entendemos a gravidade das alegações e continuamos comprometidos em proteger a integridade dos dados de nossos clientes.
É importante ressaltar que, em linha com nossos princípios éticos e compromisso com a legalidade, o AGF não efetuou e não efetuará qualquer tipo de pagamento em resposta a esta tentativa de extorsão. Não compactuamos com o crime e acreditamos firmemente na importância de seguir os caminhos legais para resolver tais questões”.
São diversos os arquivos publicados pelos cibercriminosos. Entre eles, há um dump de emails com 26 mil endereços. Não é possível quantificar, contudo, quantos clientes foram afetados pelo vazamento.
O ransomware é um tipo de malware “sequestrador”. Ao invadir um sistema, ele realiza uma criptografia e captura as informações presentes. Ainda, os administradores desse sistema ficam incapacitados de realizar qualquer operação. Por outro lado, os cibercriminosos que operam o ransomware costumam exigir um pagamento para a liberação do sistema.