Categoria

Inteligência do adversário

Indústrias afetadas

Telecomunicação

Região afetada

Global

Fonte*

C3

TOPO#

ÂMBAR

Referência

* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability #https://en.wikipedia.org/wiki/Traffic_Light_Protocol

Sumário executivo

• CloudSEKa principal plataforma digital de monitoramento de risco da XV Vigília descobriu uma postagem em um fórum de crimes cibernéticos, anunciando os registros de PII de 30 milhões de usuários da T-Mobile, incluindo seu SSN, carteira de motorista e data do DoB.
• Com base no momento da postagem e na recente violação de dados da T-Mobile, suspeitamos de uma conexão entre esses incidentes.
• A equipe de pesquisa de inteligência de ameaças da CloudSEK está validando esta publicação.

Análise e atribuição

Informações da fonte

• Em 14 de agosto de 2021, um agente de ameaças publicou uma postagem em um fórum de crimes cibernéticos anunciando as PII de 30 milhões de usuários, incluindo nome, sobrenome, data de nascimento, SSN, estado, número da carteira de motorista e data de nascimento.
• Para fundamentar suas afirmações, o ator compartilhou amostras de alguns usuários junto com a postagem e todos os dados estão sendo colocados à venda por 6 BTC (EUA ~ 200.000 ou INR ~ 2 crore).

Informações de código aberto

• Quase simultaneamente, notícias relacionadas a uma violação de dados da T-Mobile foram relatadas em várias plataformas de notícias, como o ET-CISO[1]. Os relatórios indicam que o agente de ameaças responsável está oferecendo os dados pessoais de 30 milhões de clientes por 6 BTC, conforme mencionado na postagem do fórum.
• O relatório no Vice.com[2] também menciona que, embora a postagem do ator da ameaça não tenha nomeado a vítima, sua publicação on-line Motherboard entrou em contato com o vendedor, que confirmou que a T-Mobile é a parte afetada.
• Tópicos do Reddit[3] confirmaram o vazamento de informações de nome, sobrenome, data de nascimento, SSN e DL dos clientes da T-Mobile. Esses tópicos também afirmam que o banco de dados vazado pode ter sido obtido a partir de informações de usuários pós-pagos comprometidos.

O ator da ameaça

• O ator da ameaça entrou no fórum em março de 2019 e tem bastante reputação
• Eles compartilharam postagens relacionadas a bancos de dados comprometidos e vazamentos de dados ocasionalmente.

Incidentes que levaram a esta postagem

• Antes desta publicação, vários outros agentes de ameaças publicaram postagens alegando ter acesso aos detalhes de SSN, DL e DOB dos usuários. No entanto, o número de registros mencionados nessas postagens foi diferente.
• A equipe de pesquisa de inteligência de ameaças da CloudSEK está tentando confirmar se essas informações estão relacionadas à violação de dados da T-Mobile.
• Outra postagem alegando ter acesso a informações semelhantes, com cerca de 70.000 registros, foi publicada em 16 de agosto de 2021, junto com algumas amostras para referência.

• Embora a postagem feita por esse agente de ameaças tenha sido removida do fórum, as outras postagens ainda estão disponíveis.

• O ator tem uma boa reputação no fórum.
• As informações compartilhadas pelo ator parecem lógicas e consistentes.
• A maioria dos bancos de dados que o ator compartilhou no passado são vazamentos legítimos.

• A confiabilidade do ator pode ser classificada como razoavelmente confiável (C).
• A credibilidade do anúncio pode ser classificada como Possivelmente Verdadeira (3).

Impacto e mitigação

• O banco de dados comprometido contém informações de PII dos usuários que podem ser usadas por agentes de ameaças para realizar vários ataques, como:
  • Ataques de engenharia social
  • Ataques de phishing
  • Roubo de identidade

• Atualize o sistema e todos os aplicativos para os patches e versões mais recentes.
• Use uma política regular de atualização de senha e evite a reutilização de senhas para várias contas.
• Use 2FA (Autenticação de Dois Fatores) em todos os logins.
• Verifique se há anomalias nas informações de transação e login de lugares desconhecidos.

Referências

Apêndice