Categoria: Inteligência do adversárioIndústria: TelecomunicaçõesMotivação: FinanceiroRegião: IndonésiaFonte*: F4

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Violação de dados que afeta uma empresa de telecomunicações da Indonésia, a PT Telekomunikasi Indonesia, e suas subsidiárias.
• Cartões fiscais, demonstrações financeiras e documentos governamentais confidenciais expostos.

• Documentos vazados podem revelar práticas comerciais e propriedade intelectual.
• Registros financeiros comprometidos podem ser usados para ataques de engenharia social, roubos de identidade e ataques de phishing.

• Corrija endpoints vulneráveis.
• Atualize as instâncias do banco de dados para as versões mais recentes.
• Implemente uma política de senha forte.

Análise e atribuição

Informações do Post

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu uma postagem em um fórum de crimes cibernéticos, anunciando a violação de dados que afeta uma empresa de telecomunicações da Indonésia e suas subsidiárias.
• A empresa de telecomunicações comprometida foi a PT Telekomunikasi Indonesia.
• Foi alegado que 49 MB de documentos confidenciais foram exfiltrados, incluindo:
  • Cartões fiscais
  • Demonstrações financeiras
  • Documentos governamentais confidenciais
• A lista de subsidiárias afetadas pela violação inclui o seguinte:
  • PT Infomedia Nusantara
  • PT Infrastruktur Telekomunikasi Indonésia
  • Harbor Media
  • PT Telkom Satelit Indonésia
  • PT Metranet
• Para fundamentar suas alegações, um total de 65 exemplos de documentos foram compartilhados.
• O grupo também publicou uma ameaça alegando que esperava uma reação razoável das entidades comprometidas, como a confirmação da violação em vez da negação.
• Além disso, o grupo emitiu uma mensagem pedindo que todas as empresas estaduais e governamentais relatem com responsabilidade as violações de dados no presente e no futuro.
• Para evitar fraudes, o grupo usa o serviço de intermediário facilitado pelo moderador do fórum, Pompompurin.

[caption id="attachment_21527" align="alignnone” width="1333"] O anúncio de violação de dados publicado pelo grupo no fórum de crimes cibernéticos [/caption]

Informações de uma fonte confidencial

Uma fonte confidencial em contato com o agente da ameaça constatou que:

• O grupo compartilhou um arquivo ZIP contendo os documentos violados.
• Todos Os metadados do PDF foram apagados das amostras divulgadas.
• Verificou-se que os dados observados são originários de pelo menos 2009.
• O grupo também deixou seu endereço de e-mail em um arquivo TXT no despejo de documentos.

Leia também A evolução do ecossistema de extorsão por vazamento de dados

Informações de fóruns de crimes cibernéticos

• A equipe de pesquisa de inteligência de ameaças da CloudSEK observou um número constante de ataques cibernéticos contra a Indonésia.
• De acordo com as discussões do fórum, a possível causa desses ataques é uma postura de segurança fraca da infraestrutura voltada para a web das empresas.
• Uma violação de dados notável e recente foi observada, expondo 17 milhões de registros de clientes da PLN (Perusahaan Listrik Negara ou Companhia Estatal de Eletricidade da Indonésia).

Atividade e classificação do ator de ameaças

Perfil do ator de ameaçasAtivo desde julho de 2022ReputaçãoBaixa (Várias reclamações e preocupações no fórum) Status atualHistórico ativoA confiabilidade das informações fornecidas pelo grupo não pode ser avaliada no momento.Ponto de contatoJabber e emailRatingF4 (F: Confiabilidade desconhecida; 4: Duvidosamente verdadeiro)

Impacto e mitigação

ImpactoMitigação

• Os detalhes confidenciais expostos podem revelar práticas comerciais e propriedade intelectual.
• Danos à reputação da entidade afetada.
• Essas informações podem ser agregadas posteriormente para serem vendidas como vazamentos de leads/documentos em fóruns de crimes cibernéticos.
• Aumento do roubo de identidade e ocorrência de fraude de documentos.

• Implemente uma política de senha forte.
• Ative a MFA (autenticação multifator) em todas as contas de serviço.
• Corrija endpoints vulneráveis e exploráveis.
• Monitore fóruns de crimes cibernéticos para ver as táticas mais recentes empregadas pelos agentes de ameaças.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

[caption id="attachment_21528" align="alignnone” width="1071"] Mensagem compartilhada pelo grupo dirigindo-se ao governo estadual [/caption] [caption id="attachment_21529" align="alignnone” width="703"] Um documento lacrado feito a um cidadão indonésio, da Unidade de Implementação de Serviços Integrados na Vila North Cipete [/caption] [caption id="attachment_21530" align="alignnone” width="327"] Documento fiscal - atribuído à PT Infomedia Nusantara [/caption] [caption id="attachment_21531" align="alignnone” width="1347"] Informações do Banco BNI - atribuídas à Infomedia Nusantara [/caption] [caption id="attachment_21532" align="aligncenter” width="748"] Documento recuperado da PT Telekomunikasi Indonesia [/caption] [caption id="attachment_21533" align="alignnone” width="1144"] O anúncio do ator ameaçador sobre os dados da Companhia Estatal de Eletricidade da Indonésia, colocando à venda 17 milhões de dados de cidadãos [/caption]