O grupo que opera o ransomware RansomHub atualizou hoje seu site de vazamentos na dark web com uma tag verde, de “Published”, no registro em que publicou, como vítima, o nome da cooperativa financeira Sicoob. O timestamp da publicação está com a data de 1 de Julho de 2024 e com o horário de 02:13:16, provavelmente UTC/GMT (quatro horas a mais do que em Brasília). Um link disponibilizado pelos cibercriminosos conduz a uma página onde há uma árvore de 26 diretórios, contendo um total de 676 arquivos.
Veja isso
Intrusão e sete ameaças do Ransomhub ao Sicoob
Hackers alegam invasão do Sicoob BA (em apenas 4 minutos)
O material está muito longe do tamanho de 1TB anunciado pelos malfeitores. Pela organização e pelo conteúdo, parece tratar-se de uma estação de trabalho de funcionário ou gerência. Um dos diretórios tem o nome de uma pessoa. Há seis diretórios na raiz publicada e mais 20 subdiretórios. Apenas um deles tem uma nomenclatura que remete a um assunto financeiro, sendo que os restantes não fazem referência a isso. Apesar disso, o diretório contém documentos que parecem ter natureza sigilosa, sendo alguns relacionados a processos judiciais.
O ataque foi registrado pelo grupo Ransomhub em 1 de Junho. Somente no dia 24, porém, o Sicoob, Sistema de Cooperativas Financeiras do Brasil, confirmou em nota à imprensa a ocorrência de “incidente cibernético no ambiente local de uma das cooperativas que integram o Sistema”. Os rumores sobre o incidente começaram a circular pela manhã daquele dia, depois que o grupo que opera o ransomware Ransomhub publicou cópias de documentos que contêm o nome da Unicentro Br, uma das 334 cooperativas do sistema, e que tem sede em Goiânia.