CategoriaInteligência do adversárioIndústrias afetadasSaúde, GovernoRegião afetadaÍndiaCampos de dadosNome, número de celular, ID Aadhaar, GPS, localização, estado, etc.

Sumário executivo

• CloudSEKa principal plataforma digital de monitoramento de risco da XV Vigília descobriu uma postagem, em um fórum de crimes cibernéticos, vendendo os registros de 150 milhões de indianos, que receberam a vacina COVID 19, por USD 800.
• Na Índia, todos os registros de vacinas COVID são gerenciados por meio do portal COWIN, que foi desenvolvido e gerenciado pelo Governo da Índia.
• A equipe de inteligência de ameaças do CloudSEK está validando as afirmações feitas na postagem.

[caption id="attachment_17663" align="aligncenter” width="632"] Postagem do ator da ameaça no fórum da dark web [/caption]

Análise

Um banco de dados de “pessoas vacinadas contra a Covid-19” também foi anunciado em um canal privado do Telegram em 27 de maio de 2021. Esta postagem também afirmou que o banco de dados contém 150 milhões de registros. No entanto, estava sendo vendido por USD 1000. O identificador do Telegram que postou isso também é o administrador do canal privado do Telegram. O administrador do canal tem um histórico de revenda de bancos de dados, que já haviam sido vazados por grupos de ransomware.É provável que o “Dark Leak Market” e o canal Telegram sejam administrados pela mesma entidade, uma vez que todos os bancos de dados anunciados no canal Telegram também foram vendidos consistentemente no URL “Dark Leak Market”, em um curto período de tempo. No momento da publicação deste relatório, o URL do Dark Leak Market não estava ativo. [caption id="attachment_17664" align="aligncenter” width="322"] Publique no canal privado do Telegram [/caption] Também houve rumores em fóruns clandestinos de que “Dark Leak Market” é uma farsa. [caption id="attachment_17667" align="aligncenter” width="430"] Converse em fóruns clandestinos dizendo que “Dark Leak Market” é uma farsa [/caption] Logo depois de ser postado, o Tweet do Dark Tracer foi discutido em um fórum clandestino, com muitos usuários aludindo que a postagem era uma farsa. [caption id="attachment_17668" align="aligncenter” width="586"] Discussões clandestinas sobre o tweet [/caption]

Impacto e mitigação

Mitigação de impactoA postagem afirma que o banco de dados contém informações confidenciais dos usuários, como nome, números de celular, ID AADHAR, localização geográfica, etc., dos 150 milhões de usuários afetados. Se essas informações forem autênticas, elas podem ser usadas para propagar ataques de engenharia social. Preemptivamente, as seguintes medidas podem ser tomadas para evitar o uso indevido de dados:

• Use senhas fortes.
• Ative a autenticação multifator para todas as contas on-line.
• Não compartilhe OTPs com terceiros.
• Revise contas on-line e demonstrações financeiras periodicamente.

Nota: O CloudSEK continuará monitorando o link Onion do “Dark Leak Market” e vasculhando outros fóruns clandestinos em busca de atualizações sobre esse suposto vazamento de um banco de dados COVID 19.