A Dell confirmou ter sido alvo de um ciberataque no início deste mês, perpetrado por um grupo de extorsão conhecido como "World Leaks". Os atacantes conseguiram infiltrar-se numa das plataformas de demonstração de produtos da empresa e estão agora a tentar exigir um resgate. No entanto, a gigante tecnológica afirma que os dados comprometidos são maioritariamente sintéticos e sem valor real.
O incidente foi reconhecido pela Dell em declarações ao site BleepingComputer, que adiantou que os atacantes acederam à sua plataforma "Customer Solution Centers". Este é um ambiente controlado, utilizado para demonstrar produtos e soluções Dell a clientes comerciais, e não para a prestação de serviços.
O que foi exatamente comprometido?
A Dell fez questão de sublinhar que a plataforma atacada está intencionalmente separada dos sistemas dos clientes e parceiros, bem como das redes internas da empresa. A empresa garante que os dados utilizados neste ambiente de demonstração são primariamente sintéticos (falsos), com recurso a conjuntos de dados públicos criados especificamente para esse fim.
"Com base na nossa investigação em curso, os dados obtidos pelo ator da ameaça são principalmente sintéticos, disponíveis publicamente ou dados de sistemas/testes da Dell", afirmou um porta-voz da empresa.
Apesar de os atacantes provavelmente acreditarem ter em sua posse informação valiosa, como exemplos de dados médicos e financeiros, tudo indica que esta informação é inteiramente fabricada. A única informação legítima que terá sido roubada é uma lista de contactos bastante desatualizada. A Dell afirma ainda que os clientes são repetidamente avisados para não carregarem dados privados para estes laboratórios de teste.
Questionada sobre como a brecha de segurança ocorreu ou sobre o pedido de resgate, a Dell recusou-se a partilhar mais detalhes, citando que a investigação ainda está a decorrer.
Quem são os atacantes "World Leaks"?
O grupo "World Leaks" é uma nova identidade dos "Hunters International", que recentemente alteraram o seu foco. Em vez de encriptarem ficheiros através de ransomware, dedicam-se agora exclusivamente à extorsão através do roubo de dados.
Os Hunters International surgiram no final de 2023 e foram inicialmente apontados como uma possível continuação do infame grupo Hive, devido a semelhanças no código. Desde então, o grupo reivindicou mais de 280 ataques a organizações em todo o mundo.
Em janeiro de 2025, os Hunters International mudaram de nome para World Leaks, justificando a decisão com a crescente dificuldade em rentabilizar o ransomware e os riscos associados. Agora, o grupo utiliza uma ferramenta de exfiltração de dados feita à medida para roubar informação e exigir um pagamento para não a divulgar.
Até ao momento, o World Leaks já publicou dados de 49 organizações no seu site na dark web, mas a Dell ainda não consta na lista. Curiosamente, as atividades do grupo também foram associadas à exploração recente de vulnerabilidades em dispositivos SonicWall SMA 100 em fim de vida, onde os atacantes instalaram um rootkit personalizado. Yutaka Sejiyama, investigador de segurança na Macnica, revelou ao BleepingComputer que 10 das 46 empresas expostas no site do World Leaks utilizavam um destes dispositivos.
Nenhum comentário
Seja o primeiro!