Ransomware Everest reclama roubo de 940 mil registos de clientes do Mailchimp

O grupo de ciber-crime Everest publicou na sua página na dark web a alegação de que obteve e expôs um ficheiro de 767 MB contendo mais de 940 000 linhas de dados associados ao serviço de marketing por email Mailchimp. A plataforma, detida pela Intuit, não confirmou, até ao momento, qualquer violação de segurança.

Dimensão e natureza da informação divulgada

Segundo a descrição disponibilizada pelo próprio grupo, o conjunto inclui endereços de email, nomes de domínio, números de telefone, localização geográfica de empresas, links para redes sociais e referências aos serviços de alojamento utilizados pelos clientes da ferramenta. A listagem surge organizada em formato semelhante a folhas de cálculo, podendo indicar exportação a partir de bases de dados externas e não directamente dos sistemas internos da empresa.

A amostra tornada pública não contém, para já, documentação considerada sensível do Mailchimp, apesar de os atacantes sustentarem ter obtido “documentos confidenciais”. Peritos independentes citados pela imprensa internacional admitem que o impacto possa ficar limitado a registos comerciais, caso a divulgação total reproduza o padrão observado.

Antecedentes e contexto da plataforma

O Mailchimp é utilizado globalmente para criação e gestão de campanhas de correio electrónico, segmentação de contactos e automação de marketing. A empresa já tinha sido alvo, em 2022, de uma intrusão que originou uma campanha de phishing contra utilizadores da plataforma. Na altura, os atacantes exploraram credenciais de funcionários para aceder a informação de contas empresariais.

Método de actuação do ransomware Everest

Activo desde 2020, o grupo de origem russa segue o modelo de dupla extorsão: infiltra-se nos sistemas da vítima, cifra os ficheiros e ameaça publicar os dados obtidos caso o resgate não seja pago. Entre os alvos referidos pelo próprio colectivo constam a plataforma governamental brasileira Gov.br, a Coca-Cola, a NASA e o conglomerado industrial saudita Rezayat.

Nos casos reivindicados, o Everest apresenta habitualmente amostras dos ficheiros para reforçar a pressão sobre as organizações visadas. A publicação desta semana enquadra-se na mesma estratégia, procurando levar o Mailchimp a negociar antes de uma exposição integral do conteúdo alegadamente roubado.

Reacção da empresa e posição de especialistas

A Intuit, proprietária do Mailchimp, não confirmou nem desmentiu a intrusão. Fontes de segurança ouvidas por meios especializados consideram plausível que a recolha se tenha limitado a bases de dados de clientes exportáveis a partir da própria interface do serviço, o que reduziria a dimensão do incidente. Porém, alertam que endereços de email, números de telefone e referências tecnológicas constituem matéria-prima valiosa para campanhas de spam, fraudes e ataques dirigidos a fornecedores de alojamento ou e-commerce.

Analistas sublinham ainda que, mesmo sem encriptação de ficheiros, a simples ameaça de exposição pública é suficiente para comprometer a confiança de empresas que dependem do Mailchimp para actividades de vendas e comunicação.

Próximos passos e recomendações

Até haver confirmação oficial, os especialistas aconselham os administradores de contas na plataforma a:

• Monitorizar comunicações suspeitas dirigidas às listas de distribuição;
• Reforçar políticas de autenticação multifactor para acesso às suas contas;
• Validar procedimentos de exportação de contactos e limitar privilégios de utilizadores internos.

Em paralelo, a comunidade de cibersegurança aguarda declarações da Intuit sobre eventuais medidas de mitigação e sobre a extensão real dos dados em causa.

Imagem: tecmundo.com.br