Ameaça interna: O caso do ransomware Medusa e a BBC

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Entenda como a gangue de ransomware Medusa tentou usar um repórter para atacar a BBC por dentro e o que isso significa para a sua segurança.

E se o seu colega de trabalho fosse, secretamente, a porta de entrada para um devastador ataque de ransomware? Foi exatamente o que a gangue Medusa tentou fazer com um repórter da BBC, destacando o crescente perigo das ameaças internas no ambiente corporativo. O incidente envolvendo o jornalista de cibersegurança Joe Tidy serve como um alerta sobre como criminosos digitais estão mudando suas estratégias, mirando diretamente os colaboradores das organizações.

Neste artigo, vamos detalhar a tentativa de recrutamento, explicar o que são ameaças internas (ou insider threats), explorar o conceito de MFA fatigue bombing e compartilhar lições práticas para profissionais de TI, empresas e usuários em geral. O foco dos ataques está se deslocando do software para o fator humano, reforçando que a segurança da informação não depende apenas de firewalls e antivírus, mas também de consciência e vigilância contínua.

Com casos como este, fica claro que a proteção contra ataques digitais exige mais do que tecnologia: é preciso entender como os criminosos operam e estar preparado para reagir rapidamente.

Ransomware

O contato inesperado: uma oferta de milhões via Signal

Tudo começou quando Joe Tidy recebeu uma mensagem inesperada no aplicativo Signal. O remetente se apresentava como “Syn”, um representante da gangue Medusa, especializada em ataques de ransomware a grandes organizações.

A proposta era chocante: Syn ofereceu a Tidy uma porcentagem de um resgate multimilionário em troca de acesso à rede interna da BBC. Para tornar a oferta mais convincente, a gangue prometeu colocar 0,5 BTC em custódia, reforçando a ideia de que a transação era legítima e segura.

O caso destaca como cibercriminosos estão cada vez mais sofisticados na abordagem de potenciais insiders, usando promessas financeiras e pressão psicológica para induzir colaboradores a comprometer a segurança de suas organizações.

Ameaças internas: a nova fronteira do ransomware

Uma ameaça interna ou insider threat ocorre quando um funcionário ou colaborador de confiança é manipulado ou decide voluntariamente colaborar com criminosos, fornecendo acesso a sistemas críticos, dados confidenciais ou credenciais de autenticação.

Esse tipo de ataque é especialmente perigoso porque explora o elo mais fraco da segurança: o ser humano. Ao contrário de malware tradicional, que depende de falhas técnicas, uma ameaça interna pode contornar firewalls, antivírus e outros mecanismos de defesa simplesmente porque envolve alguém com acesso legítimo.

Gangues como LockBit e Medusa já demonstraram interesse em recrutar insiders para facilitar ataques. Os motivos podem variar: descontentamento profissional, problemas financeiros ou falhas éticas. Por isso, organizações precisam combinar tecnologia com políticas e treinamentos que detectem comportamentos suspeitos e promovam uma cultura de segurança forte.

A escalada da pressão: o que é ‘MFA fatigue bombing’?

Quando Tidy decidiu ignorar as mensagens de Syn, a gangue passou para uma tática agressiva de engenharia social conhecida como MFA fatigue bombing. Seu celular começou a receber inúmeras notificações de autenticação multifator (MFA) em intervalos rápidos e persistentes.

O MFA fatigue bombing funciona como alguém tocando insistentemente a campainha até que você, por exaustão, abra a porta. Nesse caso, o objetivo é cansar o colaborador para que ele aprovar acidentalmente uma tentativa de login malicioso.

Tidy reagiu corretamente: não aprovou nenhuma solicitação e contatou imediatamente a equipe de segurança da BBC, mostrando como o conhecimento sobre essas táticas pode prevenir um incidente grave.

O desfecho e as lições aprendidas

A equipe de segurança da BBC agiu rapidamente, cortando o acesso do jornalista por precaução e bloqueando qualquer tentativa de exploração do insider. Syn desapareceu sem sucesso, e nenhum dado foi comprometido.

Deste caso, podemos extrair importantes lições:

Para empresas:

  • Realizar treinamentos periódicos de segurança, incluindo conscientização sobre engenharia social e ataques internos.
  • Criar canais claros para reportar atividades suspeitas sem penalizar os colaboradores.
  • Promover uma cultura de segurança em todos os níveis da organização, tornando os funcionários aliados na proteção da informação.

Para colaboradores:

  • Desconfiar de contatos inesperados oferecendo ganhos financeiros ou acesso privilegiado.
  • Nunca compartilhar credenciais ou dispositivos de autenticação com terceiros.
  • Reportar imediatamente qualquer atividade suspeita à equipe de segurança.

Conclusão: a vigilância é a melhor defesa

O caso da BBC e da gangue Medusa evidencia que o futuro dos ataques de ransomware não está apenas em explorar vulnerabilidades de software, mas também em explorar colaboradores maliciosos ou distraídos. A segurança da informação evoluiu para incluir a proteção contra ameaças internas, tornando o conhecimento e a vigilância diária tão importantes quanto qualquer ferramenta tecnológica.

Você já recebeu alguma abordagem suspeita no trabalho? Compartilhe este artigo para alertar seus colegas sobre o perigo real das ameaças internas e ajude a fortalecer a segurança coletiva das organizações.

Compartilhe este artigo