Durante o fim de semana, o grupo de extorsão Arkana Security gerou um breve alarme no mundo da cibersegurança ao anunciar a venda de dados que alegadamente teriam sido roubados recentemente à Ticketmaster. No entanto, uma análise mais atenta revela que esta não é uma nova fuga de informação, mas sim uma tentativa de revenda dos dados subtraídos durante os ataques à plataforma Snowflake em 2024.
Afinal, fumo sem fogo: dados não são novos
O grupo Arkana chegou a publicar capturas de ecrã dos dados, anunciando um pacote de mais de 569 GB de informação da Ticketmaster para venda, o que levou à especulação de uma nova e grave falha de segurança na empresa.
Contudo, o site BleepingComputer confirmou que os ficheiros exibidos pelo Arkana correspondem às amostras de dados que já tinham sido identificadas após os ataques massivos à Snowflake. A própria legenda numa das imagens partilhadas pelo grupo, que mencionava "rapeflaked copy 4 quick sale 1 buyer", é uma referência direta à "RapeFlake", uma ferramenta personalizada criada pelos atacantes para extrair dados das bases de dados da Snowflake.
No domingo, dia 9 de junho, a listagem dos dados da Ticketmaster já tinha sido removida do site do grupo Arkana, como apontado pelo DarkWebInformer.
A ligação ao ataque massivo da Snowflake
Os ataques à Snowflake, reivindicados pelo conhecido grupo de extorsão ShinyHunters, foram um dos incidentes de cibersegurança mais impactantes de 2024. Os atacantes utilizaram credenciais de acesso à plataforma Snowflake que tinham sido roubadas através de infostealers (software malicioso que rouba informação). Com este acesso, conseguiram descarregar enormes volumes de dados de várias empresas para posterior extorsão.
A Ticketmaster foi uma das vítimas mais notórias, com o roubo de dados pessoais e de bilhética dos seus clientes. A empresa confirmou a falha de segurança no final de maio e iniciou o processo de notificação dos utilizadores afetados. Após a fuga inicial, os cibercriminosos intensificaram a pressão, chegando a publicar supostos bilhetes para imprimir em casa e até alegados bilhetes para concertos de Taylor Swift em fóruns de hacking.
Além da Ticketmaster, a lista de vítimas dos ataques à Snowflake inclui gigantes como:
- Santander
- AT&T
- Advance Auto Parts
- Neiman Marcus
- Pure Storage
- Cylance
ShinyHunters, Arkana e um mistério por resolver
Embora o grupo Arkana não tenha especificado a origem dos dados que tentava vender, as referências à Snowflake e a correspondência dos ficheiros indicam claramente que se tratava de uma tentativa de lucrar com material roubado por outros.
Permanece incerto qual a relação entre os dois grupos. O Arkana poderá ter comprado os dados, ser composto por antigos membros que já os possuíam ou estar a colaborar diretamente com os ShinyHunters na sua venda.
O nome ShinyHunters está associado a inúmeras fugas de dados ao longo dos anos. Recentemente, a empresa de cibersegurança Mandiant associou o grupo a uma campanha que visava contas da Salesforce para roubar dados de clientes e extorquir empresas. Com a detenção de vários membros ligados aos ShinyHunters nos últimos três anos, não é claro se o grupo atual é o original ou se são outros atacantes a usar o nome para desviar a atenção das autoridades.
Nenhum comentário
Seja o primeiro!