Under Armour é alvo de dupla extorsão: grupo Everest rouba 343 GB com dados de clientes

Under Armour confirmou ter se tornado alvo de uma ofensiva de dupla extorsão conduzida pelo grupo de ransomware Everest, que afirma ter extraído 343 GB de dados internos e pessoais de clientes espalhados por vários países.

Quem são os envolvidos na invasão

A fabricante de artigos esportivos Under Armour figura como vítima de um ataque atribuído ao grupo de cibercriminosos conhecido como Everest. Essa quadrilha opera na dark web e especializou-se em ações que combinam sequestro de informações com a ameaça de divulgação pública, estratégia batizada como “dupla extorsão”.

O que aconteceu e como foi executado

O incidente foi exposto pelo próprio Everest em um comunicado publicado em seu domínio clandestino. Segundo o anúncio, os invasores penetraram nos sistemas corporativos da Under Armour, copiaram 343 GB de conteúdos internos e impuseram um prazo de sete dias para que representantes da companhia estabeleçam contato. Se não houver negociação dentro desse período, o grupo promete liberar o material ao público.

No centro da estratégia dos criminosos está o uso do Tox messenger, um protocolo de mensagens ponto a ponto que dispensa servidores centralizados. Essa característica dificulta a interceptação ou rastreio das conversas. Na página de chantagem, um cronômetro regressivo reforça a pressão para que a empresa responda antes da expiração do prazo.

Quais dados foram subtraídos

As amostras divulgadas pelo Everest revelam a amplitude dos sistemas comprometidos. Entre os registros constam:

– Histórico detalhado de compras, com carimbos de data e hora de cada transação.
– Identificadores de produto, preços, quantidades e preferências de loja atribuídas a cada consumidor.
– Informações de localização que associam cidades e regiões aos pedidos realizados.
– Logs de campanhas de marketing e rastreamento de deep links usados em promoções.
– Catálogo de produtos completo, contendo SKU, nome, tipo, categoria, tamanho, cor, preço, disponibilidade, avaliações de usuários, descrições em múltiplos idiomas e links regionais.
– Dados pessoais de clientes, como endereço de e-mail, nome, idioma preferido, status de consentimento para marketing e marcações temporais relacionadas a essas permissões.

Por que o volume e a qualidade do material preocupam

A combinação de registros de vendas, perfis de usuários e inteligência de marketing indica que os atacantes provavelmente tiveram acesso a sistemas centrais de back-end, por exemplo plataformas de CRM ou de automação de campanhas. Esses ambientes concentram informações cruciais para personalização, análise de comportamento e relacionamento com o consumidor. A captura integral desse ecossistema amplia não apenas o impacto corporativo, mas também o risco individual, pois os detalhes roubados podem subsidiar ataques de engenharia social e fraudes direcionadas.

Entendendo o método de dupla extorsão

Grupos de ransomware costumavam restringir-se à criptografia de arquivos nos servidores da vítima, exigindo pagamento em troca das chaves de desbloqueio. O modelo evoluiu: agora, antes de embaralhar os dados, as gangues fazem cópias completas, passando a chantagear com duas ameaças simultâneas. Mesmo que a empresa possua backups suficientes para restaurar suas operações, continua exposta à possibilidade de vazamento de informações sensíveis. Isso coloca a reputação da organização em risco, pressiona relações com clientes e parceiros e, em muitos casos, incentiva o pagamento do resgate.

Histórico prévio do grupo Everest

A reputação do Everest foi construída sobre casos em que, após a recusa das vítimas em pagar, o coletivo efetivamente publicou os bancos de dados obtidos. Entre os incidentes atribuídos ao grupo estão:

– Vazamento do site de carreiras de uma grande operadora de telecomunicações, com mais de meio milhão de cadastros de candidatos.
– Divulgação de 1,5 milhão de registros de passageiros vinculados ao Aeroporto de Dublin.
– Exposição de dados internos de funcionários de um parceiro engarrafador de refrigerantes multinacional.

O padrão reforça a credibilidade da ameaça corrente — quando o Everest anuncia que tornará as informações públicas, há precedentes que confirmam o cumprimento dessa promessa.

Situação oficial da Under Armour até o momento

Até a publicação desta reportagem, a Under Armour não havia confirmado nem negado a violação relatada pelo Everest. Empresas nesse cenário costumam iniciar investigações forenses para medir o alcance da intrusão, avaliar obrigações regulatórias e determinar a estratégia de resposta. Enquanto a apuração não termina, clientes e parceiros permanecem sem esclarecimentos definitivos sobre a extensão real do compromisso de dados.

Riscos imediatos para consumidores

Quando grandes bancos de dados circulam clandestinamente, surge uma janela de oportunidade para campanhas de phishing. Criminosos independentes enviam mensagens que aparentam ser comunicados oficiais, instruindo vítimas a redefinir senhas, preencher formulários ou baixar supostas faturas. A verossimilhança aumenta quando o atacante dispõe de nome, e-mail, idioma e histórico de compras do destinatário, elementos que constam entre os arquivos obtidos no ataque contra a Under Armour.

Medidas de precaução recomendadas

Especialistas em segurança digital orientam usuários possivelmente afetados a adotar práticas preventivas:

– Monitorar movimentos em cartões de crédito, contas de pagamento e programas de fidelidade vinculados às compras na Under Armour.
– Alterar senhas associadas aos serviços da marca, optando por credenciais únicas, longas e complexas.
– Ativar a autenticação de dois fatores sempre que disponível, reduzindo a chance de invasão por simples captura de senha.
– Desconfiar de e-mails que solicitem ações urgentes ou contenham anexos inesperados. Na dúvida, acessar o site da empresa digitando o endereço manualmente, nunca clicando em links recebidos.
– Rever permissões de marketing concedidas anteriormente, já que essas preferências constam nos registros violados.

Possíveis impactos para a Under Armour

Além da pressão direta do resgate, a empresa enfrenta potenciais repercussões regulatórias em diferentes jurisdições, pois mantém consumidores em vários países. Legislações de proteção de dados pessoais, como leis nacionais de privacidade, exigem comunicação transparente sobre vazamentos que envolvam informações identificáveis. Dependendo da análise forense, poderá haver notificações a autoridades, consumidores e acionistas, bem como obrigatoriedade de medidas corretivas.

Como o prazo de sete dias influencia a negociação

O relógio regressivo apresentado pelo Everest busca instaurar senso de urgência e reduzir o tempo disponível para a companhia organizar uma resposta coordenada. Sob esse limite, as equipes de segurança, jurídico e comunicação corporativa devem:

– Confirmar a veracidade e abrangência das amostras publicadas.
– Calcular o valor potencial do prejuízo se o conteúdo for divulgado.
– Ponderar aspectos éticos, legais e de precedentes que envolvem eventual pagamento.
– Preparar planos de contingência para cenários em que a negociação não evolua.

Lição recorrente no cenário de cibercrimes

O caso Under Armour reforça tendência observada em ataques recentes: grupos de ransomware priorizam sistemas que agregam múltiplas fontes de dados e que, portanto, oferecem valor elevado tanto para extorsão quanto para comercialização clandestina. Plataformas que fazem a ponte entre vendas, marketing e relacionamento tornaram-se alvo preferencial porque condensam perfis completos de clientes e inteligência de mercado em um único repositório.

O que observar nos próximos dias

Com o término do prazo definido pelo Everest, três desdobramentos são possíveis, todos igualmente documentados em incidentes anteriores do grupo:

1. Negociação bem-sucedida, com pagamento de resgate e, em tese, retenção de vazamento.
2. Falha de acordo, levando à divulgação integral ou parcial dos 343 GB prometidos.
3. Prolongamento das tratativas, enquanto o cronômetro é ajustado para manter a pressão.

Independentemente da saída, o episódio já coloca em evidência a necessidade de práticas robustas de segurança da informação — não somente para evitar a criptografia dos dados, mas também para impedir o acesso inicial que possibilita a cópia e posterior chantagem.