0
0
Centenas de legisladores dos EUA e suas famílias correm o risco de roubo de identidade, golpes financeiros e, potencialmente, até mesmo ameaças físicas depois que um conhecido agente de ameaças de roubo de informações chamado IntelBroker disponibilizou informações de identificação pessoal (PII) dos membros da Câmara dos Deputados para venda no ” Foro criminal violado.
As informações, confirmadas como obtidas por meio de uma violação no mercado de seguros de saúde DC Health Link, incluem nomes, números de CPF, datas de nascimento, endereços e outras informações de identificação confidenciais. Os dados sobre os membros da Câmara faziam parte de um conjunto de dados maior de PII pertencente a mais de 170.000 indivíduos inscritos no DC Health Link que o agente da ameaça colocou à venda esta semana.
DC Health Link: uma violação significativa
Em um e-mail de 8 de março para os membros da Câmara e seus funcionários, a diretora administrativa da Câmara dos EUA, Catherine Szpindor, disse que o ataque ao DC Health Link não parece ter como alvo específico os legisladores dos EUA. Mas a violação foi significativa e potencialmente expôs PII em milhares de pessoas inscritas no DC Health Link .
“O FBI também nos informou que eles foram capazes de comprar este PII, juntamente com outras informações de inscritos, na Dark Web”, disse o presidente da Câmara Kevin McCarthy (R-Calif.) e o líder da minoria na Câmara Hakeem Jeffries (DN.Y. ) disse em uma carta conjunta ao diretor executivo da DC Health Link em 8 de março. serviços de monitoramento de crédito para eles.
Apesar da carta, os detalhes da invasão no DC Health Link ainda não estão disponíveis. A organização, governada por um conselho executivo nomeado pelo prefeito de DC, não respondeu imediatamente a um pedido de comentário sobre o incidente.
Um relatório no BleepingComputer esta semana identificou pela primeira vez o agente da ameaça como o nome apropriado IntelBroker, depois que os cibercriminosos colocaram os dados roubados à venda em 6 de março. criptomoeda.” As partes interessadas devem entrar em contato com os vendedores por meio de um intermediário para obter detalhes.
Resumo de violações anteriores da IntelBroker
Este não é o primeiro grande assalto para o grupo: um ator de ameaça, usando o mesmo apelido em fevereiro, reivindicou o crédito por uma violação no Weee!, um serviço de entrega de comida asiática e hispânica. Posteriormente, a IntelBroker vazou cerca de 1,1 milhão de endereços de e-mail exclusivos e informações detalhadas sobre mais de 11,3 milhões de pedidos feitos por meio do serviço.
O fornecedor de segurança BitDefender, que cobriu o incidente em seu blog na época, publicou um anúncio que a IntelBroker colocou no BreachedForums que mostrava o invasor se vangloriando de obter nomes completos, endereços de e-mail, número de telefone e até notas de pedidos que incluíam códigos de acesso de apartamentos e prédios .
Enquanto isso, Chris Strand, diretor de risco e conformidade da Cybersixgill, diz que sua empresa acompanha o IntelBroker desde 2022 e está prestes a divulgar um relatório sobre o ator. “O IntelBroker é um membro Breached altamente ativo com uma pontuação de reputação de 9/10, que afirmou no passado ser o desenvolvedor do ransomware Endurance”, diz Strand.
O uso do Breached pela IntelBroker para vender PII de troca de integridade, em vez de um site de vazamento dedicado ou um canal do Telegram, é consistente com as táticas anteriores do agente da ameaça. Sugere falta de recursos ou inexperiência por parte do indivíduo, diz Strand.
“Além da presença do IntelBroker no Breached, o agente da ameaça manteve um repositório GitHub público intitulado Endurance-Wiper”, disse ele ao Dark Reading.
Em novembro, a IntelBroker alegou que usou o Endurance para roubar dados de agências governamentais de alto nível dos EUA, observa Strand. No total, o agente da ameaça fez cerca de 13 reclamações sobre a violação das principais agências governamentais dos EUA, provavelmente para atrair clientes para um programa de ransomware como serviço (RaaS). Outras organizações que a IntelBroker afirma ter invadido incluem a Volvo, a cultuada fabricante de calçados Dr. Martens e uma subsidiária indonésia da The Body Shop.
“Nossos analistas de inteligência rastreiam o IntelBroker desde 2022 e coletamos informações atribuídas a esse agente de ameaças desde então, bem como ameaças associadas que foram relacionadas ou atribuídas ao IntelBroker”, diz Strand.
As PII dos membros da Câmara são uma ameaça à segurança nacional?
Justin Fier, vice-presidente sênior de operações da equipe vermelha da Darktrace, diz que o motivo do agente da ameaça para colocar os dados à venda parece ser puramente motivado financeiramente, e não político. E, devido ao alto perfil das vítimas, a IntelBroker pode descobrir que a atenção que a violação está atraindo aumentará o valor dos dados roubados (ou trará mais calor do que gostaria).
Os compradores podem ser outra história. Dada a disponibilidade de endereços físicos e informações de contato eletrônico, os tipos de possíveis ataques subsequentes são inúmeros, variando de engenharia social para roubo de identidade ou espionagem a direcionamento físico, o que significa que as partes interessadas podem percorrer toda a gama em termos de motivação.
“O valor diz muito sobre quem eles podem estar pensando em termos de compradores”, diz ele. Se tudo o que o agente da ameaça acabar pedindo é alguns milhares de dólares, é provável que seja uma empresa criminosa menor. Mas “você começa a falar em milhões, eles estão claramente atendendo a compradores de estados-nação”, diz ele.
Fier avalia que os dados que o agente da ameaça roubou dos membros da Câmara dos EUA representam potencialmente um problema de segurança nacional. “Não devemos pensar apenas em estados-nação externos que possam querer comprar isso”, diz Fier. “Quem pode dizer que outros partidos políticos e/ou ativistas não poderiam armar isso?”
FONTE: DARK READING