Os hackers por trás do malware Gootkit esqueceram de proteger seu banco de dados com uma senha
Algumas pessoas têm problemas para entender quanto dano uma operação de crime cibernético pode causar. Catalin Cimpanu, da ZDNet, e Bob Diachenko, da SecurityDiscovery.com, passaram algum tempo analisando de perto um malware que rouba informações, com o nome de Gootkit, e espera-se que suas descobertas ajudem você a entender melhor o tamanho da escala.
Cimpanu disse que, quando comparado a outros trojans como Emotet e TrickBot , a operação do Gootkit é "nem de longe" tão grande. No entanto, alguns parágrafos depois, ele disse que a operação relativamente pequena resultou recentemente no roubo de pelo menos 15 mil cartões de crédito. Diachenko teve alguns números ainda mais aterrorizantes que mostram que mesmo os nomes menores do setor são capazes de causar muitos danos. Mas como Cimpanu e Diachenko chegaram a essas estatísticas?
Índice
Às vezes, até os hackers não conseguem proteger seus bancos de dados
Aqueles de vocês que estão ativamente interessados em segurança da informação provavelmente já ouviram o nome Bob Diachenko no passado. Ele é um pesquisador de segurança que ajudou na descoberta de dezenas de incidentes em que gigabytes e gigabytes de dados confidenciais foram deixados em bancos de dados mal configurados e expostos à Internet. Na maioria dos casos, Diachenko tenta entrar em contato com os proprietários dos servidores com vazamento e ajuda a proteger as informações. Compreensivelmente, quando ele encontrou dados roubados pelos operadores do Gootkit, ele não estava com muita pressa para informá-los sobre seu erro. Em vez disso, ele ligou para Catalin Cimpanu e pediu ajuda na análise do vazamento.
O cavalo de Tróia estava enviando todos os dados que estava roubando para um banco de dados do MongoDB que era facilmente detectável com a ajuda dos mecanismos de pesquisa da IoT. Não está claro se a exposição ocorreu devido a uma configuração incorreta do firewall ou porque os hackers haviam esquecido de proteger seu servidor com senha, mas o fato era que os dados estavam acessíveis a quem sabia onde procurar. Como já mencionamos, havia muito disso também.
O Gootkit rouba e vaza informações extremamente sensíveis
O Gootkit começou sua vida em 2014 como um humilde cavalo de tróia. Após a infecção, ele monitorava o comportamento de navegação da vítima e ganhava vida quando o usuário tentava acessar seu site bancário on-line. Gradualmente, no entanto, o Gootkit evoluiu, e o foco passou das credenciais bancárias para um escopo de informações muito mais amplo.
No momento, ele pode filtrar tudo, desde cookies e históricos de navegação a e-mails, credenciais do SO e senhas para todas as contas imagináveis. O Gootkit também faz capturas de tela regulares e registra todas as informações que os usuários inserem em formulários on-line, e foi assim que ele conseguiu roubar todos os detalhes do cartão de crédito.
O pesquisador afirma que, além dos 15 mil cartões de crédito, os bancos de dados também possuíam perto de 2,2 milhões de senhas, mais de 750 mil nomes de usuários e mais de 1,4 milhão de contas de email. Nada mal para uma operação de malware em pequena escala, mas infelizmente os dados vazados não terminaram aí. De acordo com o relatório da ZDNet, também havia credenciais armazenadas para coisas como agências governamentais búlgaras e trocas de criptomoedas que poderiam levar à exposição de informações ainda mais sensíveis.
Os hackers foram rápidos em proteger o banco de dados
O surto de servidores mal configurados que vazam dados agora está se transformando em epidemia. Organizações legítimas deixam bancos de dados desprotegidos diariamente e fica claro que os cibercriminosos também não estão imunes a isso. Quando empresas reais estão envolvidas, entrar em contato com as pessoas responsáveis e ajudá-las a corrigir o vazamento costuma ser mais difícil do que parece. Por outro lado, os operadores do Gootkit parecem estar muito mais dispostos a reagir.
Em 10 de julho, apenas cinco dias depois que Diachenko viu o banco de dados com vazamento pela primeira vez, os hackers o derrubaram. Não está claro se eles agiram porque viram que Diachenko e Cimpanu estavam analisando os dados. Também não temos idéia se mais alguém conseguiu ver as informações. O que sabemos é que, antes do fechamento do banco de dados, Diachenko conseguiu compartilhar os dados com as autoridades. Felizmente, isso ajudará a polícia a chegar à gangue Gootkit.
