Agência de investimento AGF+ sofre ataque de ransomware e vazamento; polícia investiga

3 min de leitura
Imagem de: Agência de investimento AGF+ sofre ataque de ransomware e vazamento; polícia investiga

A instituição de investimento AGF+ foi vítima de um ataque cibernético na última semana de 2023. De acordo com publicação em fórum cibercriminoso no dia 31 de dezembro, o ransomware Happy Blog teve sucesso ao capturar dados de funcionários e clientes.

Em contato com o TecMundo, a AGF+ afirma que as autoridades policiais já trabalham no caso. A instituição não pagou a extorsão dos criminosos.

O Happy Blog é um domínio utilizado na internet pelos operadores do ransomware REvil. No entanto, por meio das amostras que provariam a infecção, o ransomware está batizado com o mesmo nome de domínio - por isso a classificação ambígua do tipo de malware.

Está em andamento uma investigação policial para apuração do ilícito

Segundo os criminosos e amostras divulgadas ao público, entre os dados capturados estão: códigos de aplicações, nomes completos (clientes), endereço residencial (clientes), número telefônico (clientes), documentos e recibos de transações de ações.

Outras informações coletadas ainda incluem, de acordo com os operadores: relatórios e balanços de ações (TRD), recibos de compras, lista completa de ações B3 de clientes, autorizações OAuth B3, tokens B3, chaves SSH, chaves EC2, senhas RDS, base de dados MySQL completa, chaves SSL, certificados “válidos até 2024”, código-fonte do site, códigos de API, códigos parciais da aplicação móvel, keystore do projeto Android e créditos de publicação.

É interessante notar ainda que foi vazada uma lista de clientes classificados entre “viralata pequeno” até “lobo grande”.

leakOferta

Posicionamento

A oferta do vazamento completo, que agora ocorre em fórum porque a AGF+ não pagou o ransomware, possui tamanho de 120 GB. A amostra divulgada na última semana conta com 2GB. Os criminosos prometem revelar mais 30 GB na próxima semana e 90 GB para usuários premium do fórum.

A AGF+, de acordo com seu site oficial, é uma investidora do mercado financeiro criada por Luiz Barsi Filho, economista e maior investidor individual brasileiro.

Em contato com o TecMundo, a instituição confirmou que as autoridades foram avisadas e existe investigação. Abaixo, você confere o posicionamento da AGF+ na íntegra:

Desde o início deste incidente, o AGF tem se comprometido com a mais alta transparência e responsabilidade. Tomamos todas as medidas legais e técnicas necessárias para investigar a fundo o ocorrido. Informamos proativamente nossos clientes e autoridades competentes, incluindo a ANPD, sobre a situação. Além disso, registramos boletim de ocorrência e está em andamento uma investigação policial em para apuração do ilícito.

Apesar das investigações intensivas, até o momento, não encontramos evidências concretas que comprovem a extração de informações, exceto pelas fotos de telas fornecidas anonimamente. Entendemos a gravidade das alegações e continuamos comprometidos em proteger a integridade dos dados de nossos clientes.

É importante ressaltar que, em linha com nossos princípios éticos e compromisso com a legalidade, o AGF não efetuou e não efetuará qualquer tipo de pagamento em resposta a esta tentativa de extorsão. Não compactuamos com o crime e acreditamos firmemente na importância de seguir os caminhos legais para resolver tais questões”.

ransomRansomware

Mais detalhes

São diversos os arquivos publicados pelos cibercriminosos. Entre eles, há um dump de emails com 26 mil endereços. Não é possível quantificar, contudo, quantos clientes foram afetados pelo vazamento.
De acordo com timestamps presentes no leak, ainda é possível aferir que a infecção do ransomware aconteceu especificamente na madrugada do dia 11 de dezembro.

Não há como saber, no momento, como o sistema da AGF+ foi infectado

O ransomware é um tipo de malware “sequestrador”. Ao invadir um sistema, ele realiza uma criptografia e captura as informações presentes. Ainda, os administradores desse sistema ficam incapacitados de realizar qualquer operação. Por outro lado, os cibercriminosos que operam o ransomware costumam exigir um pagamento para a liberação do sistema.

Atualmente, a captura completa dos dados é vendida em fórum e as autoridades policiais investigam o caso.

leakLeak

Denúncias ao TecMundo

Para realizar uma denúncia, nossos canais são:

keystoreKeystore Android

Fique por dentro também do TecMundo no YouTube! Você pode acompanhar a reportagem em vídeo:

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.