Empresa Claro, a maior operadora de telecomunicações da América Central e do Sul, divulgado sendo atingido por ransomware. Os representantes compartilharam esta informação em resposta às interrupções de serviço em diversas regiões. A partir da nota de resgate, fica claro que os invasores são Trigona ransomware.
Claro Telecom Hacked, Serviços interrompidos
Desde janeiro 25, 2024 Clientes da Claro Telecom sofreram com problemas significativos de rede. Mas só em fevereiro 2, eles publicaram a primeira notificação sobre a situação, do nome de sua subsidiária Claro Nicarágua. Apesar da nota ser publicada pela filial da Nicarágua, os problemas também foram relatados em outros países da América Latina, nomeadamente El Salvador, Costa Rica, Guatemala e Honduras.
Como explica a nota, a empresa sofreu um ataque de ransomware que causou danos a alguns de seus elementos de rede. O mesmo comunicado compartilha as esperanças da empresa na breve restauração de todos os serviços. Entre problemas típicos que ainda não estão completamente resolvidos, são problemas com conectividade com a Internet, videochamadas e processamento de pagamentos.
Pela nota de resgate que os analistas conseguiram obter da empresa, fica claro que a Claro estava atacado pelo ransomware Trigona. O grupo de dupla extorsão provavelmente conseguiu entrar em parte do sistema e exfiltrar os arquivos. E embora a criptografia de arquivos seja recuperável, exfiltração de dados é extremamente perigoso considerando a quantidade de dados do usuário armazenados nos servidores das operadoras de telecomunicações.
O que é ransomware Trigona?
Trigona é um grupo de ransomware que iniciou a sua actividade em Outubro 2022. Apesar de ser relativamente novo no cenário do crime cibernético, eles já ganharam fama e complexidade, ostentando uma versão Linux de sua carga principal. Analistas de malware nomeiam este grupo como o sucessor do ransomware CryLock, e apontar para sua possível associação with ALPHV/BlackCat ransomware.
Esta gangue de ransomware é conhecida por praticar dupla extorsão, o que significa que além da criptografia de arquivos, eles também vazam quantidades significativas de dados do ambiente atacado. Avançar, os invasores pedem o pagamento de um resgate separado para evitar que esses dados sejam publicados ou vendidos a terceiros.
De volta em outubro 2023, Trigona was hacked by Ukrainian Cyber Alliance, a organização hacker de chapéu branco. UCA conseguiu limpar toda a infraestrutura do servidor, junto com os backups. Os chapéus brancos supostamente conseguiram colocar as mãos em todas as ferramentas da coleção do grupo de ransomware, então existe a possibilidade de um descriptografador de ransomware ser lançado no futuro. Apesar disso, esse hack não impediu que as fraudes voltassem aos negócios.
Hackear Telecom Corporation é uma nova tendência?
Ataque à Claro Company é mais um episódio de uma empresa de telecomunicações sendo atingida por ransomware – uma visão bastante incomum nos anos anteriores a 2024. Sim, havia casos conhecidos of T-Mobile US hacks que levou a extensas violações de dados, mas nenhum deles acabou com interrupções graves na rede. Mas 2024 explodiu com ataques a empresas de telecomunicações, starting with Ukrainian Kyivstar. Todas essas violações levaram a problemas significativos de conectividade e até mesmo a interrupções completas de todos os serviços prestados pela empresa-alvo..
Considerando a quantidade de dados pessoais que normalmente circulam nas organizações de telecomunicações, as medidas avançadas de segurança multicamadas são a obrigação. As ferramentas de segurança devem ser acompanhadas por uma arquitetura de rede que torne mais difícil hackear toda a rede de uma só vez e proteção de dados. Este último é especialmente importante, já que a citada tática de dupla extorsão é hoje mais uma tradição do que uma novidade.