A agência de segurança cibernética da União Europeia disse na quinta-feira que um recente hack e violação de dados no órgão executivo da UE foi obra de um grupo cibercriminoso conhecido como TeamPCP.
Num novo relatório, o CERT-EU também informou que os hackers roubaram cerca de 92 gigabytes de dados comprimidos de uma conta comprometida da Amazon Web Services (AWS) usada pelo executivo do bloco, a Comissão Europeia, que incluía dados pessoais contendo nomes, endereços de e-mail e o conteúdo de e-mails.
A violação afetou a infraestrutura em nuvem da plataforma Europa.eu da Comissão, que os estados membros utilizam para hospedar sites e publicações das instituições e agências do bloco.
A CERT-EU escreveu que os dados de pelo menos 29 outras entidades da UE podem ser afetados e que dezenas de clientes internos da Comissão Europeia também poderiam ter tido dados roubados.
Os dados roubados foram então publicados online por outro grupo de hackers, o Notorious ShinyHunters.
Embora a dimensão da violação de dados seja em si notável, a pirataria informática e a subsequente fuga de dados da Comissão Europeia por dois grupos de hackers distintos realçam uma tendência crescente de os cibercriminosos trabalharem em conjunto para extorquir as suas vítimas.
A CERT-EU disse que a violação teve origem em 19 de março, quando hackers adquiriram uma chave secreta de API associada à conta AWS da Comissão Europeia, após um hack anterior direcionado à ferramenta de segurança de código aberto Trivy. A Comissão baixou inadvertidamente uma cópia da ferramenta Trivy comprometida após a recente violação do projeto, permitindo que os hackers roubassem sua chave secreta de API e usassem esse acesso para obter dados armazenados na conta AWS da Comissão.
Embora o serviço afirme que ainda está analisando os dados publicados online, cerca de 52 mil arquivos contêm mensagens de e-mail enviadas. O CERT-EU disse que a maioria desses e-mails são automatizados com pouco ou nenhum conteúdo, mas os e-mails retornados com erro “podem conter o conteúdo original enviado pelo usuário, representando um risco de exposição de dados pessoais”.
A CERT-EU disse que já está em contacto com as organizações afetadas.
Contate-nos
Você tem mais informações sobre essa violação? Ou outros ataques cibernéticos? A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail.
Um porta-voz da Comissão Europeia disse ao TechCrunch que o órgão está fechado até a próxima semana e então responderia a um pedido de comentário.
Um membro do ShinyHunters não respondeu aos pedidos de comentários.
Além da praia de Trivy, o TeamPCP tem sido associado a ataques de ransomware e campanhas de mineração de criptografia, diz Aqua Security, que desenvolve o Trivy. Mais recentemente, os hackers estiveram por trás de uma campanha sistemática de ataques à cadeia de suprimentos que comprometeram outros projetos de segurança de código aberto, de acordo com a Unidade 42 da Palo Alto Networks.
Ao direcionar os desenvolvedores com chaves para acessar sistemas confidenciais, os hackers “têm então a capacidade de manter organizações comprometidas para resgate, exigindo pagamentos de extorsão”, escreveu a Unidade 42.
