Bate-papos secretos mostram como Cybergang se tornou uma potência em ransomware
MOSCOU – Apenas algumas semanas antes da gangue de ransomware DarkSide atacou o proprietário de um grande oleoduto dos EUAAo interromper as entregas de gasolina e combustível de aviação ao longo da costa leste dos Estados Unidos, o grupo estava apertando os parafusos de uma pequena editora familiar sediada no meio-oeste americano.
Trabalhando com um hacker que se autodenomina Woris, DarkSide lançou uma série de ataques com o objetivo de fechar os sites da editora, que trabalha principalmente com clientes no ensino fundamental, caso se recusasse a cumprir um pedido de resgate de 1,75 milhão de dólares. Ele até ameaçou entrar em contato com os clientes da empresa para avisá-los falsamente de que havia obtido informações que a gangue disse que os pedófilos poderiam usar para fazer carteiras de identidade falsas que lhes permitiriam entrar nas escolas.
Woris achou essa última tática um toque particularmente agradável.
“Eu ri do fundo da minha alma sobre as identidades vazadas que os pedófilos podem usar para entrar na escola”, disse ele em russo em uma conversa secreta com o DarkSide obtida pelo The New York Times. “Eu não achei que isso os assustaria tanto.”
O ataque do DarkSide ao dono do oleoduto, Colonial Pipeline, com sede na Geórgia, não apenas empurrou a gangue para o cenário internacional. Ele também destacou uma indústria criminosa em rápida expansão, baseada principalmente na Rússia, que se transformou de uma especialidade que exige habilidades de hacking altamente sofisticadas em um processo semelhante a uma correia transportadora. Agora, mesmo pequenos grupos criminosos e hackers com recursos de computação medíocres podem representar uma ameaça potencial à segurança nacional.
Onde antes os criminosos tinham que jogar jogos mentais para enganar as pessoas a entregar senhas de bancos e ter o conhecimento técnico para desviar dinheiro de contas pessoais seguras, agora praticamente qualquer pessoa pode obter ransomware e enviá-lo para um sistema de computador comprometido usando truques coletados. Tutoriais do YouTube ou com a ajuda de grupos como o DarkSide.
“Qualquer idiota pode ser um cibercriminoso agora”, disse Sergei A. Pavlovich, um ex-hacker que cumpriu 10 anos de prisão em sua Bielo-Rússia por crimes cibernéticos. “A barreira intelectual para a entrada tornou-se extremamente baixa.”
Uma olhada nas comunicações secretas do DarkSide nos meses que antecederam o ataque ao Oleoduto Colonial revela uma operação criminosa em ascensão, gerando milhões de dólares em pagamentos de resgate todos os meses.
O DarkSide oferece o que é conhecido como “ransomware como serviço”, no qual um desenvolvedor de malware cobra uma taxa de usuário de supostos afiliados como o Woris, que podem não ter as habilidades técnicas para realmente criar ransomware, mas ainda são capazes de entrar na rede da vítima. sistemas de computadores.
Os serviços do DarkSide incluem fornecer assistência técnica a hackers, negociar com alvos como editoriais, processar pagamentos e projetar campanhas de lobby sob medida por meio de chantagem e outros meios, como ataques secundários a sites bloqueados. As taxas de usuário do DarkSide operavam em uma escala móvel: 25% para qualquer resgate abaixo de US $ 500.000 até 10% para resgates acima de US $ 5 milhões, de acordo com a firma de segurança de computadores FireEye.
Como uma operação inicial, DarkSide teve que lidar com dores de crescimento, aparentemente. Em um bate-papo com alguém do serviço de atendimento ao cliente do grupo, Woris reclamou que a plataforma de ransomware da gangue era difícil de usar, custando-lhe tempo e dinheiro enquanto trabalhava com o DarkSide para extorquir dinheiro do editor americano.
“Eu nem entendo como fazer negócios na sua plataforma”, reclamou ele em uma bolsa em março. “Passamos muito tempo quando há coisas para fazer. Eu entendo que você não dá a mínima. Se não formos nós, outros farão o pagamento. É quantidade, não qualidade. “
O Times obteve acesso ao “painel” interno que os clientes DarkSide usavam para organizar e realizar ataques de resgate. As informações de login foram fornecidas ao The Times por um cibercriminoso por meio de um intermediário. O Times está ocultando o nome da empresa envolvida no ataque para evitar mais retaliações de hackers.
O acesso ao painel DarkSide ofereceu uma visão extraordinária do funcionamento interno de uma gangue de língua russa que se tornou o rosto do cibercrime global. Apresentado em preto e branco, o painel dava aos usuários acesso à lista de objetivos do DarkSide, bem como um medidor de lucro e uma conexão com a equipe de suporte ao cliente do grupo, com quem os afiliados podiam planejar estratégias para eliminar suas vítimas.
O painel ainda estava operacional em 20 de maio, quando um repórter do Times se conectou, embora o DarkSide tivesse emitiu uma declaração uma semana antes, dizendo que estava fechando. Um funcionário do atendimento ao cliente respondeu quase imediatamente a uma solicitação de bate-papo enviada da conta de Woris pelo repórter do Times. Mas quando o repórter se identificou como jornalista, a conta foi imediatamente bloqueada.
Mesmo antes do ataque a Colonial Pipeline, os negócios da DarkSide estavam crescendo. De acordo com a empresa de segurança cibernética Elliptic, que estudou as carteiras de Bitcoin do DarkSide, a gangue recebeu cerca de US $ 15,5 milhões em Bitcoin desde outubro de 2020, com outros US $ 75 milhões reservados para afiliados.
Os grandes lucros para uma jovem gangue criminosa – DarkSide foi criada em agosto passado, de acordo com pesquisadores de segurança de computadores – destacam como o submundo do crime cibernético de língua russa se multiplicou nos últimos anos. Esse crescimento foi instigado pelo aumento de criptomoedas como o Bitcoin, que tornou a necessidade de mulas de dinheiro da velha escola, que às vezes tinham que contrabandear fisicamente dinheiro através das fronteiras, virtualmente obsoleta.
Em apenas alguns anos, dizem os especialistas em segurança cibernética, o ransomware se tornou um negócio altamente organizado e compartimentado. Existem certos hackers que invadem sistemas de computador e outros cujo trabalho é controlá-los. Existem especialistas em suporte técnico e especialistas em lavagem de dinheiro. Muitas gangues criminosas têm até porta-vozes oficiais que lidam com relações com a mídia e divulgação.
De muitas maneiras, a estrutura organizacional da indústria russa de ransomware imita as franquias, como McDonald’s ou Hertz, que reduzem as barreiras de entrada e permitem a fácil duplicação de práticas e técnicas comerciais comprovadas. O acesso ao painel do DarkSide era tudo o que era necessário para se estabelecer como afiliado do DarkSide e, se você quisesse, baixar uma versão funcional do ransomware usado no ataque Colonial Pipeline.
Embora o The Times não tenha adquirido esse software, o editor ofereceu uma janela para o que é ser vítima de um ataque do ransomware DarkSide.
A primeira coisa que a vítima vê na tela é uma carta de resgate com instruções e ameaças gentis.
“Bem-vindo ao DarkSide”, diz a carta em inglês, antes de explicar que os computadores e servidores da vítima foram criptografados e os backups removidos.
Para descriptografar as informações, as vítimas são direcionadas a um site onde devem inserir uma chave de acesso especial. A carta deixa claro que eles podem chamar uma equipe de suporte técnico se tiverem um problema.
“!!! PERIGO !!! NÃO MODIFIQUE ou tente RECUPERAR nenhum arquivo por conta própria ”, diz a carta. “NÃO PODEMOS RESTAURAR.”
O software DarkSide não apenas bloqueia os sistemas de computador das vítimas, mas também rouba dados proprietários, permitindo que as afiliadas exijam pagamento não apenas para desbloquear os sistemas, mas também para se abster de divulgar publicamente informações confidenciais da empresa.
No registro de bate-papo visto pelo The Times, um funcionário do atendimento ao cliente do DarkSide se gabou para Woris de que estivera envolvido em mais de 300 ataques de resgate e tentou tranquilizá-lo.
“Estamos tão interessados em lucros quanto você”, disse o funcionário.
Juntos, eles traçaram o plano para pressionar o editor, uma empresa familiar de quase um século com apenas algumas centenas de funcionários.
Além de desligar os sistemas de computador da empresa e emitir a ameaça de pedofilia, Woris e o suporte técnico do DarkSide redigiram uma carta de chantagem para enviar aos funcionários da escola e pais que eram clientes da empresa.
“Prezados funcionários da escola e pais”, dizia a carta, “não tenho nada pessoal contra vocês, são apenas negócios.” (Um porta-voz da empresa disse que a DarkSide nunca contatou nenhum cliente, mas vários funcionários o fizeram.)
Além disso, usando um novo serviço que o DarkSide lançou em abril, eles planejavam fechar os sites da empresa com os chamados ataques DDOS, nos quais hackers sobrecarregam a rede de uma empresa com solicitações falsas.
As negociações de resgate com o DarkSide duraram 22 dias e foram conduzidas por e-mail ou no blog da gangue com um hacker ou hackers que falavam apenas inglês mutilado, disse o porta-voz da empresa. As negociações fracassaram em março devido à recusa da empresa em pagar o resgate de US $ 1,75 milhão. DarkSide teria ficado furioso e ameaçado vazar a notícia do ataque de ransomware para a mídia.
“Ignorar é uma estratégia muito ruim para você. Você não tem muito tempo “, escreveu o DarkSide por e-mail.” Depois de dois dias, publicaremos sua postagem no blog e enviaremos esta notícia a todos os principais meios de comunicação. E todos verão uma violação catastrófica de dados. “
Apesar de todas as táticas pesadas, DarkSide não estava inteiramente sem uma bússola moral. Em uma lista de regras afixada no quadro, o grupo disse que qualquer ataque a alvos educacionais, médicos ou governamentais era proibido.
Em suas comunicações, o DarkSide tentou ser educado e o grupo esperava o mesmo dos hackers que usavam seus serviços. Afinal, o grupo “valoriza muito nossa reputação”, disse DarkSide em uma comunicação interna.
“É proibido ofender ou ser rude com os alvos sem motivo”, disse DarkSide. “Nosso objetivo é ganhar dinheiro por meio de um diálogo normal e calmo.”
Outra regra importante adotada pelo DarkSide, junto com a maioria dos outros grupos cibercriminosos de língua russa, ressalta uma realidade sobre o crime cibernético hoje. Qualquer pessoa que viva na Comunidade dos Estados Independentes, uma coleção de ex-repúblicas soviéticas, está estritamente fora dos limites para ataques.
Especialistas em segurança cibernética dizem que a restrição “não trabalhe em .ru”, uma referência ao sufixo de domínio nacional da Rússia, se tornou de rigueur na comunidade de hackers de língua russa, para evitar complicações com a aplicação da lei russa. As autoridades russas deixaram claro que raramente processarão cibercriminosos por ataques de ransomware e outros crimes cibernéticos fora da Rússia.
Como resultado, a Rússia se tornou um centro global para ataques de ransomware, dizem os especialistas. A empresa de segurança cibernética Recorded Future, com sede fora de Boston, rastreia cerca de 25 grupos de ransomware, dos quais cerca de 15, incluindo os cinco maiores, estão baseados na Rússia ou em qualquer outro lugar do mundo. Ex-União Soviética, disse um especialista em inteligência de ameaças da empresa . Dmitry Smilyanets.
Smilyanets é um ex-hacker russo que passou quatro anos sob custódia federal por crimes cibernéticos. A Rússia, em particular, tornou-se uma “estufa” para os cibercriminosos, disse ele.
“Foi criada uma atmosfera na Rússia em que os cibercriminosos se sentiam muito bem e podiam prosperar”, disse Smilyanets. “Quando alguém se sente confortável e confiante de que não será preso no dia seguinte, começa a agir com mais liberdade e ousadia.”
O presidente russo, Vladimir V. Putin, deixou as regras perfeitamente claras. Quando o jornalista americano Megyn Kelly o pressionou em uma entrevista de 2018 Sobre por que a Rússia não estava prendendo os hackers que teriam interferido nas eleições nos Estados Unidos, ele respondeu que não havia motivo para prendê-los.
“Se eles não violaram a lei russa, não há nada para processá-los na Rússia”, disse Putin. “Você deve finalmente perceber que as pessoas na Rússia vivem de acordo com as leis russas, não com as leis americanas.”
Após o ataque colonial, o presidente Biden disse que funcionários da inteligência tinham evidências de que os hackers eram da Rússia, mas ainda não haviam encontrado nenhum vínculo com o governo.
“Hasta ahora no hay evidencia basada en, de nuestra gente de inteligencia, que Rusia esté involucrada, aunque hay evidencia de que los actores, el ransomware, está en Rusia”, dijo, y agregó que las autoridades rusas “tienen alguna responsabilidad que tratar com isto.”
Este mês, a equipe de suporte do DarkSide foi rápida em responder às partes do sistema que foram fechadas, o que o grupo atribuiu, sem evidências, à pressão dos Estados Unidos. Em uma postagem em 8 de maio, um dia após o ataque colonial se tornar público, a equipe do DarkSide parecia esperar alguma simpatia de seus afiliados.
“Agora existe a opção de deixar uma dica para o Suporte em ‘pagamentos’”, dizia o post. “É opcional, mas a equipe de suporte ficaria muito satisfeita :)”.
Dias após o F.B.I. Identificando publicamente o DarkSide como o culpado, Woris, que ainda não havia obtido o pagamento do editor, abordou o atendimento ao cliente, aparentemente preocupado.
“Oi, como vai você?”, Escreveu ele. “Eles bateram em você com força.”
Foi a última comunicação que Woris teve com DarkSide.
Dias depois, apareceu uma mensagem no quadro dizendo que o grupo não estava exatamente fechando, como havia dito, mas estava vendendo sua infraestrutura para que outros hackers pudessem continuar o lucrativo negócio de ransomware.
“O preço é negociável”, escreveu DarkSide. “Com o lançamento total de um programa de parceria analógica, é possível obter um lucro de US $ 5 milhões por mês”.
Oleg Matsnev contribuiu com reportagem.
