No último dia 14 de novembro, o Grupo Everest anunciou o suposto comprometimento dos sistemas da Petrobras e SA Exploration. Em sua página na Dark Web, os cibercriminosos alegaram possuir dois conjuntos de dados, que incluiriam informações sensíveis sobre a operação das empresas. Na noite desta segunda-feira (17), eles publicaram um contador acompanhado do aviso: “um representante da companhia deve seguir as instruções para nos contatar antes que o prazo expire”.
Em mais detalhes, o suposto vazamento é composto por dois pacotes: há uma base de dados de 90 GB apenas da Petrobras e outra maior, de 176 GB, também incluindo dados da SA Exploration. A descrição de ambos os anúncios é similar, com o Grupo Everest detalhando as informações obtidas e imagens anexadas.
Conforme aponta o título de uma das publicações, parte do material ligado à Petrobras estaria relacionado a pesquisas sísmicas na Bacia de Campos, localizada aproximadamente a 100 km da cidade de Campos dos Goytacazes, no interior do Rio de Janeiro. Nesse contexto, é fato relevante que a empresa anunciou a descoberta de petróleo na região ainda ontem (17), mesmo dia em que o prazo do Grupo Everest foi divulgado.
O TecMundo Security entrou em contato com a Petrobras, mas ainda não obteve resposta ou confirmação – até lá, todas as informações serão tratadas como um rumor. Também falamos com o Grupo Everest por meio do aplicativo qTox, utilizando o endereço compartilhado em sua página da Dark Web. Você confere a entrevista no texto abaixo.
Grupo Everest alega possuir dados capazes de prejudicar Petrobras
Segundo as publicações, o Grupo Everest possui: “dados brutos de navegação sísmica, incluindo coordenadas de navios, posições de nós OBN, precisão do DGPS e dados de controle de qualidade das linhas de levantamento.” Além disso, o pacote ainda incluiria relatórios e detalhes técnicos, conforme descrito abaixo:
- Relatórios sobre disparos e direções das fontes;
- Profundidades de hidrofone e das fontes;
- Pressões de disparo;
- Metadados sobre equipamentos e configurações de nós;
- Relatórios iniciais de controle de qualidade sobre o status do sistema e precisão das medições;
- Arquivos PDF processados que resumem o progresso do levantamento, resultados preliminares de controle de qualidade e conclusões linha a linha;
- Distâncias e direções entre fontes e nós;
- Deslocamentos das fontes ao longo e através das linhas;
- Parâmetros de movimento do navio;
- Orientação dos equipamentos.
Junto da descrição técnica, o Grupo Everest também alertou para a potencial gravidade dos dados supostamente vazados: “Se esses dados vazarem cedo no projeto, podem causar sérias perdas financeiras para o contratante,” alegam, “Além disso, concorrentes que tiverem acesso aos dados poderiam identificar a precisão do posicionamento, configuração dos equipamentos e padrões de movimento dos navios, permitindo replicar ou otimizar modelos semelhantes e reduzir a vantagem estratégica da empresa.”
Vazamento dos dados foi feito com credenciais da SA Exploration, alega Grupo Everest
O TecMundo Security entrou em contato com o grupo cibercriminoso Everest para entender suas motivações além da obviedade financeira, tentar traçar um potencial modus operandi e descobrir possíveis informações sobre a vulnerabilidades exploradas.
O Grupo Everest, quando perguntado sobre a diferença entre os arquivos supostamente roubados da Petrobras e SA Exploration, se limitou a responder que “os volumes totais são diferentes”.
Tratando de qual vulnerabilidade foi explorada para realizar o ataque, o Grupo Everest afirmou que entrou no sistema via comprometimento de credenciais. No caso, potencialmente vemos um ataque de credential stuffing, em que criminosos armazenam e utilizam senhas corporativas vazadas.
Ao serem questionados sobre os valores exigidos para o resgate dos dados, o Grupo Everest também não elaborou e apenas respondeu: “O comprometimento ocorreu com as credenciais da SA Exploration. Ninguém entrou em contato com a gente, então o valor ainda não foi anunciado. A Petrobras é dona dos arquivos. Nós não criptografamos os dados”.
- Matéria em atualização…