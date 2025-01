As tendências do ano passado continuam, já que um dos principais bancos do setor privado da Índia, o ICICI Bank, supostamente se tornou alvo de um ataque de ransomware. O infame Grupo Ransomware, Bashe, assumiu a responsabilidade pela violação de dados, reivindicando acesso a dados confidenciais de clientes e ameaçando sua divulgação pública, a menos que suas exigências de resgate sejam atendidas.

Analisando as alegações, a equipe de inteligência de código aberto (OSINT) do India Today encontrou inconsistências que questionam a legitimidade da violação. Embora o grupo inicialmente tenha estabelecido o prazo de 24 de janeiro de 2025, posteriormente o estendeu até 31 de janeiro de 2025, uma tática comum usada pelos invasores para manter a pressão. Além disso, os dados da amostra partilhados como “evidências” pareciam incompletos e careciam de credibilidade, levantando questões sobre a autenticidade das alegações e a verdadeira extensão da violação.

O notório grupo de ransomware

Bashe, também conhecido como Eraleig ou APT (Advanced Persistent Threat) 73, é um grupo de ransomware que surgiu em abril de 2024. O grupo adotou táticas e técnicas comumente associadas ao infame grupo Lockbit, criptografando os arquivos das vítimas e ameaçando liberar dados confidenciais a menos que um resgate seja pago.

Em apenas nove meses, Bashe fez um total de 72 vítimas em seu site de vazamento na dark web, abrangendo principalmente setores como bancos, saúde, logística e tecnologia em países como Índia, Estados Unidos, Reino Unido, França, Alemanha e Austrália. Mas um olhar mais atento revela inconsistências nas suas afirmações, com muitos ataques publicados parecendo fabricados. O grupo emprega infraestrutura baseada em TOR, ligada a atividades maliciosas como Meduza Stealer e Trickbot, para garantir o anonimato e evitar a detecção.

Ao investigar o site de vazamento da dark web, o grupo de ransomware alegou ter atacado a Índia três vezes, incluindo a recente violação do ICICI. No entanto, sua alegação de 27 de dezembro de possuir mais de 6 lakh delkh registros de clientes do Banco Federal acabou sendo um acaso. Quando o grupo divulgou os dados, tratava-se de um pequeno arquivo Excel previamente vazado por outro grupo de ransomware, “Everest”, em 2021. Uma investigação mais aprofundada revelou que o arquivo não estava associado ao banco federal, mas sim a uma de suas subsidiárias.

Um incidente notável realizado por este grupo de ransomware foi a suposta violação do banco Rakyat Indonesia. Apesar dos pedidos de resgate, o banco conduziu uma investigação completa e não encontrou nenhuma evidência de ataque de ransomware. Quando o grupo divulgou os chamados dados roubados, tratava-se de um arquivo Excel com menos de 200 KB, um documento de amostra que estava disponível publicamente em plataformas como Scribd e PDFCoffee.

Presença nas redes sociais

O grupo de ransomware Bashe mantém vários canais de comunicação e negociações de resgate. Em seu site de vazamento na dark web, eles fornecem detalhes para acessar plataformas criptografadas como o Tox Chat, que requer um ID de sessão exclusivo para manter o anonimato. Eles também foram vinculados a uma conta do Telegram e a um ID de e-mail do Onion Mail, garantindo ainda mais seu sigilo. Um perfil com seu nome em X também foi visto.