Have I Been Pwned adiciona mais 441 mil senhas à base de dados; uma delas é a sua?

No fim de semana, o serviço de notificação de violação de dados Have I Been Pwned adicionou à base de dados mais 441.657 credenciais únicas (logins e senhas) roubadas em campanhas utilizando o malware RedLine. A descoberta de um servidor com 6 milhões de logs, coletados de agosto e setembro de 2021, foi feita pelo pesquisador Bob Diachenko na semana passada.

Home do site ‘Have I Been Pwned?’. Imagem: HIBP/Reprodução

Ao BleepingComputer, ele contou que embora esses dados contenham 6 milhões de registros, muitos tinham o mesmo endereço de e-mail usado para serviços diferentes.

Redline Stealer malware logs with more than 6M records were exposed online, publicly (now taken down). Internationally sourced data, exfiltrated in Sept and Aug 2021. RS is the key source of identity data sold on online criminal forums since its initial release in early 2020. pic.twitter.com/kv9MNL8hAE

— Bob Diachenko (@MayhemDayOne) December 25, 2021

Atualmente, o RedLine é o malware mais usado para roubo de informações, sendo distribuído por meio de campanhas de phishing com anexos maliciosos, esquemas fraudulentos no YouTube e sites de crack. Ele tenta roubar cookies, credenciais (login e senhas), informações de cartões de crédito e de formulários armazenados em navegadores.

Igualmente acontece com dados de clientes de VPN e FTP, carteiras de moedas criptográficas, além de conseguir baixar um software malicioso e executar comandos em um sistema infectado.

Esses dados roubados são coletados em logs, arquivo carregado em um servidor remoto no qual o atacante poderá coletá-lo mais tarde. Esse mesmo conjunto são usados para violar outras contas (recheio/enchimento de credenciais), além de comercializá-los em mercados na darkweb. Em média por valores baixos — US$ 5 por log.

Logins e senhas de contas LastPass nos registros da RedLine Stealer

Entre os 6 milhões de logs encontrados, Diachenko identificou numerosas credenciais da LastPass. Entre essas informações, verificou vários e-mails de usuários LastPass que receberam as notificações de tentativas de logins não autorizados enviadas pela empresa, alguns deles “provavelmente acionados por engano“.

Hey I'm the original poster of the LastPass story on Hacker News that's going around. Is there any way to check if my email or (since changed) LastPass master password are in those logs? Thanks!

— Greg Technology (@technology_greg) December 28, 2021

O pesquisador também constatou que o servidor, apesar de estar acessível, não parece mais ser usado pelos atores da ameaça, já que o número de logs não aumentou.

Meu endereço de e-mail está na lista de registro da RedLine. E agora?

Diferentemente de outros casos de violação de dados, se o e-mail estiver listado nos registros da RedLine, trocar as senhas associadas a essa conta não irá bastar. Isso porque o malware visa todos os dados do usuário, ou seja, todas as contas usadas na máquina devem ter a senha alterada — contas pessoais, VPN corporativa e contas de e-mail.

Igualmente acontece com carteiras criptográficas: é aconselhável que transfira imediatamente as fichas para outra carteira, caso tenha alguma.

Por fim, uma varredura com um antivírus para tentar para tentar detectar e remover qualquer malware instalado na máquina.