Um grupo de ransomware conhecido como DragonForce afirma ter realizado uma invasão na Mobilelink USA, um grande varejista que opera lojas Cricket Wireless em todo os Estados Unidos. O grupo afirmou que extraiu mais de 5TB de dados dos sistemas da empresa. Os atacantes alegam que o material inclui documentos internos e informações relacionadas ao cliente, embora não tenham liberado arquivos de amostra para verificar a alegação.
A Mobilelink USA administra mais de 550 lojas com a marca Cricket em 21 estados. Analistas de segurança disseram que, se as alegações forem precisas, o impacto potencial pode se estender a uma ampla base de clientes. Eles observaram que os varejistas frequentemente possuem uma mistura de dados operacionais, incluindo dados de contato dos clientes, registros de compra de dispositivos e informações relacionadas à conta usadas para apoiar a ativação do serviço. Analistas disseram que qualquer exposição desse material poderia aumentar o risco de tentativas de phishing e outras formas de fraude.
A DragonForce, ligada à Rússia, é descrita por pesquisadores como um ransomware ativo, uma organização de serviço envolvida em campanhas globais de roubo de dados e extorsão. O grupo tem sido associado a incidentes que visam empresas de diversos setores. Especialistas disseram que a DragonForce costuma anunciar violações publicando alegações não verificadas antes de divulgar provas de roubo de dados. Eles acrescentaram que essa abordagem tem como objetivo pressionar as organizações a negociar.
A invasão na Mobilelink USA ainda não foi confirmada pela empresa. Nenhuma declaração pública foi emitida, e os detalhes sobre a natureza do ataque permanecem limitados. Analistas de cibersegurança disseram que, em casos em que atacantes afirmam ter extraído grandes conjuntos de dados, as empresas normalmente realizam investigações forenses paralelas para validar ou refutar as alegações. Eles disseram que essas consultas podem levar tempo porque os investigadores precisam examinar a atividade dos servidores, os logs e o comportamento da rede para identificar possíveis pontos de acesso.
Especialistas disseram que, se os dados dos clientes fossem comprometidos, os indivíduos poderiam enfrentar tentativas de obter informações pessoais adicionais por meio de comunicações fraudulentas. Atacantes frequentemente usam dados parciais para criar mensagens convincentes que parecem vir de equipes legítimas de atendimento ao cliente. Analistas aconselharam os clientes da Cricket Wireless e da Mobilelink USA a monitorarem a atividade da conta, revisarem extratos de cobrança e permanecerem atentos a contatos não solicitados solicitando verificação de dados pessoais.
Grupos de ransomware frequentemente miram varejistas devido às suas grandes bases de clientes e ambientes de TI distribuídos. Analistas disseram que sistemas de ponto de venda, plataformas de suporte ao cliente e ferramentas de gerenciamento de dispositivos podem oferecer oportunidades para atacantes caso as redes não sejam totalmente segmentadas ou monitoradas. Eles acrescentaram que os varejistas dependem da disponibilidade contínua do sistema para apoiar as operações diárias, o que pode torná-los vulneráveis à extorsão.
As autoridades de segurança pública e cibersegurança continuam rastreando grupos de ransomware especializados em roubo de dados. Investigadores disseram que ataques movidos por extorsão continuam sendo um desafio significativo porque os atacantes frequentemente atuam além das fronteiras e dependem de canais de comunicação criptografados. Eles observaram que as alegações de roubo de dados às vezes são exageradas, mas devem ser avaliadas com cuidado, pois mesmo uma exposição limitada pode criar riscos para indivíduos.
O Mobilelink USA não informou quando mais informações serão divulgadas. Os analistas esperam detalhes adicionais assim que a empresa concluir as avaliações iniciais ou se o grupo de ransomware publicar evidências.