Numa abordagem de uma audácia invulgar, o grupo de ransomware Medusa tentou aliciar um jornalista da BBC para se tornar um cúmplice interno num ciberataque à estação pública britânica. A oferta, que prometia uma recompensa milionária, foi feita diretamente ao correspondente de cibersegurança da própria estação, que expôs toda a situação.
O plano dos criminosos era simples: usar o computador portátil do jornalista para obter acesso à rede interna da BBC, roubar dados valiosos e, posteriormente, exigir um resgate avultado.
Uma proposta irrecusável (e criminosa)
O contacto foi feito em julho através da aplicação de mensagens seguras Signal, conforme revelou Joe Tidy, correspondente de cibersegurança, numa história na própria BBC. O interlocutor, que se identificou como "Syndicate", ofereceu ao jornalista 15% de todo o valor pago no resgate.
Para tornar a proposta ainda mais tentadora, o criminoso afirmou que a sua equipa poderia exigir um resgate na ordem das "dezenas de milhões", o que significaria um pagamento tão elevado que o jornalista poderia "nunca mais ter de trabalhar". Mais tarde, tentou adoçar o negócio com uma proposta adicional de 10% sobre o valor. Para provar que não estava a brincar, o hacker chegou a oferecer um pagamento adiantado de 0,5 BTC (cerca de 52.000 euros) a ser depositado numa conta de garantia num fórum de cibercrime.
A tática da infiltração interna
Esta abordagem reflete uma tática cada vez mais explorada por grupos de ransomware como o LockBit: o recrutamento de funcionários descontentes, com salários baixos ou simplesmente sem escrúpulos para facilitar o acesso inicial às redes das empresas. Aparentemente, os hackers confundiram a área de especialização de Tidy, assumindo que este teria privilégios de acesso elevados à infraestrutura da BBC.
O representante do Medusa gabou-se mesmo de que vários ataques anteriores que fizeram manchetes envolveram insiders que lhes deram acesso facilitado às redes das organizações visadas.
Quando a conversa azedou: o bombardeamento MFA
Joe Tidy, naturalmente, não aceitou a proposta. Em vez disso, protelou a resposta enquanto contactava a equipa de segurança da informação da BBC. A reação dos criminosos à falta de cooperação foi imediata e agressiva. O telemóvel do jornalista foi inundado com pedidos de autenticação de dois fatores (MFA).
Esta tática, conhecida como "bombardeamento MFA" ou "fadiga de MFA", consiste em automatizar tentativas de login com as credenciais da vítima para gerar um fluxo incessante de notificações, na esperança de que a pessoa ceda e aprove o acesso por cansaço.
Tidy não cedeu à pressão. Como medida de precaução, a equipa de segurança da BBC desligou-o completamente da rede da empresa. Curiosamente, o hacker voltou a contactá-lo para pedir desculpa pelos pedidos de login, afirmando que a oferta ainda estava de pé por mais alguns dias. Perante o silêncio do jornalista, o criminoso acabou por apagar a sua conta do Signal e desaparecer.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech