Após o ataque hacker sofrido no início de janeiro pela Orange Espanha, a segunda maior operadora de telefonia móvel daquele país, pesquisadores de segurança descobriram centenas de credenciais de operadoras de rede circulando na dark web.
A violação, orquestrada pela gangue de hackers conhecida como Snow, envolveu o sequestro da conta doCentro de Coordenação da Rede IP (RIPE) da Orange Espanha, levando a alterações nas configurações do protocolo de roteamento para a internet (BGP) e da infraestrutura de chave pública de recursos (RPKI). O incidente causou a interrupção dos serviços por três horas, suscitando preocupações sobre a vulnerabilidade das operadoras de telecomunicações e das suas infraestruturas de rede.
Em seu monitoramento da dark web, a Resecurity, fornecedora de soluções de proteção de endpoint e segurança cibernética, revela que descobriu mais de 1.572 clientes comprometidos pelo ataque ao RIPE, do Centro de Informações de Redes da Ásia-Pacífico (APNIC), do Centro de Informações de Redes Africanas (Afrinic) e do Centro de Informações de Redes da América Latina e Caribe (Lacnic), devido a atividades de malware envolvendo ladrões de senhas conhecidos como Redline, Vidar, Lumma, Azorult e Taurus.
Em um comunicado publicado na segunda-feira, 29 de janeiro, a empresa destacou os perigos decorrentes de hackers que utilizam credenciais comprometidas expostas na dark web de engenheiros de ISP/telecomunicações, técnicos de data center, engenheiros de rede, gerentes de infraestrutura de TI e empresas de terceirização.
As credenciais comprometidas, muitas vezes com preços tão baixos quanto US$ 10, podem ser vendidas por brokers (corretores) de acesso inicial que colaboram com grupos de ransomware ou cibercriminosos sofisticados para orquestrar ataques mais significativos semelhantes ao feito à Orange Espanha.
Veja isso
Ciberataque interrompe serviços de internet da Orange Espanha
Ataque a protocolo de operadoras clonou Telegram e e-mail
A Resecurity forneceu exemplos de contas comprometidas, incluindo as de um grande centro de dados na África, de uma organização financeira no Quênia e de uma grande empresa de consultoria de TI no Azerbaijão. Curiosamente, a maioria dos administradores de redes comprometidas utilizou e-mails de provedores gratuitos como Gmail, GMX e Yahoo, fornecendo informações valiosas para grupos de espionagem cibernética.
A empresa disse que notificou as vítimas afetadas e as estatísticas de feedback revelam vários níveis de conscientização e ação entre os indivíduos comprometidos. Para ter acesso ao relatório da Resecurity, em inglês, sobre as credenciais de operadoras de rede encontradas circulando na dark web, clique aqui.