Um grupo de hackers que afirma ter violado as defesas da Resecurity e obtido acesso a dados internos foi na verdade enganado por um honeypot cheio de dados sintéticos, diz a empresa de segurança no centro da história.
Há algumas semanas, pensava-se originalmente que a violação de dados era obra do notório grupo ShinyHunters. Está agora claro que este grupo não estava envolvido e que nenhum dado real foi acessado.
Em vez de ShinyHunters, o grupo envolvido no incidente é na verdade Scattered Lapsus$ Hunters (SLH). O grupo postou uma mensagem no Telegram fazendo afirmações ousadas sobre ter acessado uma série de dados, incluindo registros de funcionários.
A postagem, compartilhada por Computador bipando lê-se:
Gostaríamos de anunciar que obtivemos acesso total aos sistemas REsecurity 🙂
Pegamos tudo:
· Todos os bate-papos e registros internos
· Dados completos dos funcionários: nomes, e-mails, tokens, etc.
· Informações relacionadas a ameaças, relatórios, arranhões e todos os arquivos de gerenciamento
· Lista completa de clientes com detalhes
· Todos os seus planos de chats
Isso não aconteceu à toa. Durante meses, a REsecurity vem tentando fazer engenharia social em nós e nos grupos que conhecemos. Por exemplo, quando a ShinyHunters colocou à venda o banco de dados do sistema financeiro do Vietnã, sua equipe fingiu ser compradora para obter amostras grátis e mais informações nossas.
Eles andam por aí dizendo às empresas que irão “protegê-las” de ataques cibernéticos, vender serviços caros, agir como especialistas… mas no final, assim como fizemos com CrowdStrike e o FBI, eles foram totalmente controlados :(((
Gostaríamos também de agradecer aos nossos amigos do Devman Ransomware pela ajuda com este ataque.
O que realmente aconteceu foi muito diferente, exigindo planejamento e preparação intermináveis por parte da Resecurity. A empresa explica em uma postagem no blog:
A Resecurity identificou um agente de ameaça que tentava realizar atividades maliciosas visando nossos recursos. O ator estava investigando vários serviços e aplicativos públicos. Antes disso, o ator tinha como alvo um de nossos funcionários que não tinha dados confidenciais ou acesso privilegiado. Nossa equipe DFIR registrou o agente da ameaça em um estágio inicial e documentou os seguintes Indicadores de Ataque (IOA):
156.193.212.244 (Egito)
102.41.112.148 (Egito)
45.129.56.148 (VPN Mullvad)
185.253.118.70 (VPN)Entendendo que o ator está conduzindo um reconhecimento, nossa equipe criou uma conta honeytrap. Isso levou a um login bem-sucedido do agente da ameaça em um dos aplicativos emulados contendo dados sintéticos. Embora o login bem-sucedido pudesse ter permitido ao ator obter acesso não autorizado e cometer um crime, também nos forneceu fortes provas de sua atividade. As contas do Office 365 e VPN são altamente eficazes para criar contas honeypot (honeytrap) para detectar, rastrear e analisar atividades de hackers. Essas contas são amplamente utilizadas em ambientes corporativos para detectar tentativas de acesso não autorizado e coletar informações sobre ameaças. As implantações de honeypot mais bem-sucedidas usam contas iscas realistas e bem monitoradas que imitam alvos de alto valor, mas estão isoladas de ativos reais. Além disso, você pode usar contas honeytrap para aplicações próprias – em ambiente emulado, isolado dos recursos de produção e monitorado de perto.
Essas contas podem ser plantadas através de mercados e fóruns da Dark Web, para que possíveis invasores as encontrem e utilizem. Uma dessas contas (“Mark Kelly”) tem sido frequentemente plantada em um mercado comumente usado para comprar dados comprometidos, chamado Mercado Russo.
Para dados sintéticos, utilizamos dois conjuntos de dados diferentes: mais de 28 mil registros representando consumidores e mais de 190 mil registros de transações de pagamento e mensagens geradas. Notavelmente, em ambos os casos, utilizamos dados já conhecidos de violações disponíveis na Dark Web e em mercados clandestinos – potencialmente contendo PII – tornando os dados ainda mais realistas para os atores da ameaça. Esses dados estão prontamente disponíveis em fontes abertas e podem ser usados como um elemento importante para o engano cibernético, especialmente quando o autor da ameaça é avançado e pode realizar várias verificações para verificar se os dados não são completamente falsos. Caso contrário, isto poderia afectar as suas futuras tácticas ou levar à suspensão completa das suas acções planeadas. Em nosso cenário, nosso objetivo era permitir que o ator da ameaça conduzisse atividades e os alimentasse com dados sintéticos para observar seu caminho de ataque e infraestrutura. Esta tarefa não envolveu o uso de senhas ou credenciais de API.
Neste fim de semana, a empresa adiciona:
Após nossa publicação, o grupo chamado ShinyHunters, anteriormente perfilado pela Resecurity, caiu em um honeypot. Nossos relatórios anteriores sobre eles podem ser encontrados nos seguintes links:
ShinyHunters lança site de vazamento de dados: Trinity of Chaos anuncia novas vítimas de ransomware
Trinity of Chaos: The LAPSUS$, ShinyHunters e Scattered Spider Alliance embarcam na onda global de crimes cibernéticos
No Telegram, o grupo afirma ter “comprometido” a segurança, sem perceber que caiu em um honeypot preparado para eles. O grupo afirmou que “eles obtiveram acesso total aos sistemas Resecurity”, o que é um claro exagero, já que o ambiente honeypot preparado por nós não continha nenhuma informação sensível.
As capturas de tela compartilhadas pelos atores da ameaça estão relacionadas a “(honeytrap).b.idp.resecurity.com” (um sistema emulado com dados comprometidos da Dark Web e não associado a nenhum cliente real do Resecurity) e ao aplicativo Mattermost, que foi provisionado para a conta honeytrap “Mark Kelly” por volta de novembro de 2025 para essa finalidade.
O grupo admitiu que os esforços da Resecurity interromperam as suas operações. Nossa equipe usou engenharia social para adquirir dados do grupo e rastrear suas atividades.
O que os atores da ameaça não perceberam:
As contas preenchidas continham registros de domínios inexistentes como “resecure.com” (um domínio que não existe e não pertencia à empresa) e contas inexistentes sinalizadas como “desenvolvedores”
As chaves de API, juntamente com outros “tokens”, são criptografadas com bcrypt e pertencem a “contas fictícias” com registros duplicados, que não possuem valor.
Dados inacionáveis (inúteis) de alguns anos atrás, plantados por nossos engenheiros e misturados com conteúdo gerado por IA, nos permitiram documentar suas atividades usando a conta honeytrap. Os dados gerados foram baseados na saída do OpenAI, atuando como assistente do GPT. A atividade foi fotografada e retida, incluindo carimbos de data e hora exatos e conexões de rede, que foram compartilhadas com as autoridades.
Por que as contas honeytrap são eficazes? Eles permitem que os defensores simulem um ambiente realista para invasores avançados e coletem informações valiosas sobre suas atividades.
Vale lembrar que ShinyHunters negou envolvimento, e os verdadeiros perpetradores (ou vítimas) são Scattered Lapsus$ Hunters.
Fonte: www.betanews.com
Link da Fonte
