Um hacker que afirma ter roubado registos confidenciais de chamadas e mensagens de texto da AT&T Inc. disse que recebeu cerca de US$ 400.000 para apagar o acervo de dados.
Uma análise de um endereço de carteira de Bitcoin fornecido pelo hacker mostra uma transação em meados de Maio que analistas dizem estar alinhada a um pagamento de extorsão. De acordo com a agência Bloomberg, citando uma fonte que pediu anonimato familiarizada com as negociações de ransomware, confirmou o pagamento da AT&T ao hacker. Se a AT&T usou um intermediário para pagar os hackers não ficou imediatamente claro, diz a agência.
De acordo com a Bloomberg, um porta-voz da AT&T recusou-se a comentar se a empresa pagou um resgate para conter as consequências de um hack que potencialmente expôs um enorme cache de registos de chamadas e mensagens de texto de quase todos os seus clientes sem fio durante um período de seis meses em 2022, acrescentando que também o FBI e o Departamento de Justiça se recusaram a comentar sobre o suposto pagamento.
A Bloomberg diz que o escopo e os detalhes dos dados, incluindo algumas informações de localização, apresentam riscos à segurança nacional, com alguns especialistas a observar que o tamanho do suposto pagamento de resgate pareceu notavelmente baixo em comparação a outros eventos recentes de extorsão de alto perfil. A violação também é um dos vários comprometimentos vinculados a um incidente de segurança no provedor de software de análise de dados Snowflake Inc., e essa empresa continua a lidar com as consequências reputacionais do assunto.
O hacker disse que estava fornecendo as informações — e um vídeo de aproximadamente sete minutos que eles alegaram que os mostrava excluindo os dados — para tentar demonstrar que eles haviam cumprido seu acordo com a AT&T. A pessoa também disse que outros hackers estavam envolvidos no ataque. A Bloomberg não conseguiu verificar a autenticidade do vídeo e a alegação dos hackers de que outros invasores estavam envolvidos no incidente.
Um porta-voz da AT&T se recusou a comentar se a empresa havia recebido o vídeo. A AT&T disse na sexta-feira que não acreditava que os registros de chamadas e textos roubados tivessem sido tornados públicos.
A pedido da Bloomberg, a Chainalysis Inc. examinou o registro de pagamento fornecido pelo hacker e o comparou com informações no blockchain, um livro-razão de transações de criptomoedas disponível publicamente. A empresa disse que parece ser um pagamento de extorsão em que alguém depositou Bitcoin, que valia cerca de US$ 380.000 na época, na carteira digital identificada pelo hacker.
A Chainalysis disse que uma quantia menor foi transferida daquela carteira para outra pertencente a um hacker conhecido, que a empresa não quis identificar.
A Chainalysis disse que não conseguiu determinar se o pagamento inicial em Bitcoin foi feito pela AT&T.
A transação ocorreu numa altura em que a AT&T estava a trabalhar com as autoridades policiais federais para responder à violação e atrasar a divulgação de informações sobre ela em meio a preocupações com a segurança nacional e a segurança pública. Com a aprovação do Departamento de Justiça, a empresa atrasou a divulgação duas vezes — em 09/05 e novamente, em 05/06, de acordo com um registo regulatório.
O suposto pagamento é relativamente baixo quando comparado a pedidos de resgate — e pagamentos — por outras recentes violações de dados de alto perfil. Por exemplo, a Colonial Pipeline Co. pagou a um grupo de hackers US$ 4,4 milhões após um ataque de ransomware em 2021 forçá-la a fechar seu gasoduto, prejudicando o fornecimento de gás na Costa Leste dos EUA, enquanto a UnitedHealth Group Inc. fez um pagamento de US$ 22 milhões a um grupo de crimes cibernéticos após uma violação em fevereiro de sua subsidiária, a Change Healthcare.
“Para uma grande empresa como a AT&T, US$ 380.000 é uma gota no oceano”, disse à Bloomberg Jon DiMaggio, estrategista-chefe de segurança da Analyst1, que respondeu a perguntas da Bloomberg, mas não estava envolvido na resposta à violação de dados da AT&T. O pagamento de resgate relativamente pequeno pode ter ocorrido porque não houve registros financeiros acessados pelo hacker, disse ele.
O hacker disse que não acreditava que as informações roubadas da AT&T fossem valiosas, nem sabia quem poderia estar interessado em comprá-las.
Um representante da Snowflake disse que o hackeamento dos registos da AT&T foi parte de uma campanha maior divulgada pela empresa no mês passado, na qual invasores usaram detalhes de login roubados para acessar até 165 de seus clientes.
Fonte: O Económico
