Under Armour sofre ataque de dupla extorsão com 343 GB de dados roubados

17 nov Under Armour sofre ataque de dupla extorsão com 343 GB de dados roubados

Posted at 20:00h in Tech-Pt-br by

O grupo de ransomware Everest alega ter invadido a Under Armour e roubado 343 GB de dados internos da empresa, incluindo informações pessoais de milhões de clientes de diversos países.

O anúncio foi feito no site oficial do grupo na dark web, e para provar que o ataque é legítimo, eles já publicaram amostras dos dados roubados.

Como funciona a estratégia do grupo Everest

O esquema funciona assim: o grupo invade os sistemas da empresa, rouba uma quantidade massiva de dados e depois dá um prazo para negociação. No caso da Under Armour, foram sete dias. Eles instruíram um representante da empresa a fazer contato via Tox messenger – um protocolo de mensagens criptografadas que funciona peer-to-peer, ou seja, direto entre os usuários, sem passar por servidores centralizados. Isso dificulta muito o rastreamento.

Para pressionar ainda mais, colocaram um countdown timer, aquele relógio contando o tempo que falta. A mensagem é clara: “entre em contato antes que o tempo acabe”. Se a empresa não responder ou recusar pagar o resgate, os dados são vazados publicamente.

O que foi roubado

O impressionante é a quantidade e a qualidade das informações que aparecem nas amostras. Não é só uma lista de emails, é muito mais profundo que isso. Eles têm histórico completo de compras dos clientes, incluindo timestamps das transações – basicamente carimbos de data e hora que mostram exatamente quando cada compra foi feita.

Tem também identificadores de produtos, preços, quantidades, registros de preferências de lojas, dados de localização mostrando cidades e regiões onde as pessoas compram, logs de campanhas de marketing e até deep link tracking entries. Esses deep links são aqueles links especiais que levam você direto para um produto específico dentro do aplicativo, e os registros deles mostram exatamente como os clientes interagem com as campanhas.

Além disso tudo, os dados incluem registros detalhados do catálogo de produtos vinculados às informações dos clientes. Cada entrada tem SKU, que é o código único que identifica cada produto, nome, tipo, categoria, tamanho, cor, preços, disponibilidade, avaliações dos usuários, descrições localizadas em vários idiomas e múltiplos links regionais.

O que isso revela sobre os sistemas comprometidos

Quando você vê esse tipo de dado combinado, fica claro que os atacantes não pegaram só um banco de dados isolado. Eles provavelmente comprometeram sistemas de backend bem centrais, tipo um CRM ou plataforma de marketing automation. Esses sistemas são poderosos porque precisam integrar informações de vendas, marketing, personalização e relacionamento com cliente – tudo em um lugar só.

Os registros também expõem dados dos clientes como emails, nomes, status de consentimento para marketing, preferências de idioma e timestamps de quando essas informações foram solicitadas. Essa combinação de inteligência comercial com comportamento individual dos usuários é especialmente valiosa, tanto para concorrentes quanto para outros cibercriminosos que podem usar essas informações em ataques futuros.

O interessante é que o Everest usa uma tática que virou padrão entre grupos modernos de ransomware: a dupla extorsão. Antigamente, esses grupos só criptografavam os dados da empresa e pediam resgate para devolver o acesso. Agora, eles roubam os dados antes de criptografar e usam a ameaça de vazar essas informações como alavanca adicional.

É como se eles tivessem duas cartas na manga: mesmo que a empresa tenha backups e consiga recuperar os dados criptografados, ainda existe o risco de exposição pública de informações sensíveis. Isso força muitas empresas a negociar mesmo quando tecnicamente poderiam se recuperar do ataque.

Histórico do grupo

O Everest tem um histórico consistente de realmente vazar os dados quando as empresas recusam negociar. Eles já foram vinculados ao vazamento do banco de dados do site de carreiras da AT&T com mais de meio milhão de registros de usuários, 1,5 milhão de registros de passageiros do Aeroporto de Dublin e dados internos de funcionários de um parceiro engarrafador da Coca-Cola.

Esse padrão de comportamento mostra que não são ameaças vazias. Quando o grupo diz que vai vazar, geralmente cumpre. Isso aumenta a pressão sobre as empresas alvos e torna a negociação mais urgente.

O que os clientes devem fazer agora

É importante lembrar que, por enquanto, são alegações até que a Under Armour confirme ou negue oficialmente. Enquanto isso, os clientes precisam ficar atentos porque normalmente depois desses vazamentos começam campanhas de phishing disfarçadas de alertas oficiais da própria empresa.

Os cibercriminosos aproveitam o momento de confusão e preocupação para enviar emails falsos que parecem legítimos, pedindo para as pessoas clicarem em links, atualizarem senhas em páginas falsas ou baixarem arquivos maliciosos. É como se eles pescassem em águas turvas, aproveitando que todo mundo está preocupado com o vazamento.

O recomendado é monitorar atividade nas contas e extratos bancários, trocar todas as senhas associadas à Under Armour, habilitar autenticação de dois fatores em qualquer conta vinculada à empresa e ter muito cuidado com emails que supostamente venham da Under Armour pedindo ações urgentes. Quando em dúvida, é melhor acessar o site oficial da empresa digitando o endereço diretamente no navegador, em vez de clicar em links de emails.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.