Publicidade

Após apoiar Rússia, grande quadrilha de ransomware tem segredos expostos

Por| Editado por Claudio Yuge | 02 de Março de 2022 às 15h13

Link copiado!

Divulgação/Check Point
Divulgação/Check Point

Uma demonstração de apoio ao governo da Rússia, no contexto da invasão da Ucrânia, levou à exposição de informações sigilosas e detalhes importantes da operação do grupo Conti, uma das principais quadrilhas de ransomware em atividade. O vazamento revelou detalhes da forma como os cibercriminosos trabalham, seus principais operadores, alvos atingidos que ainda não haviam sido revelados e, principalmente, relações entre seus membros e integrantes do governo de Vladimir Putin.

A exposição começou no último final de semana e segue em andamento enquanto essa reportagem é escrita, na medida em que especialistas em segurança digital se debruçam sobre os volumes vazados por um anônimo, supostamente com fortes ligações ao bando. Trata-se de pouco mais de um ano de registros de conversas entre seus operadores, vítimas e outros indivíduos de importância, além de detalhes técnicos sobre os ataques realizados e a infraestrutura usada, valores recebidos e até endereços de carteiras de criptomoedas, algumas ainda com dinheiro oriundo de resgates recebidos.

Os detalhes mostram uma quadrilha organizada, com diferentes times com pelo menos 20 pessoas e uma estrutura de comando organizada que o ligaria a agências de inteligência do governo da Rússia. Apesar de identidades específicas não serem divulgadas, os relatos trazem pelo menos um registro em que um membro do FSB, a principal agência de inteligência do governo Vladimir Putin, solicita um ataque contra um jornalista do site investigativo holandês Bellingcat.

Continua após a publicidade

Todo o contato aconteceu pelo mensageiro Jabber, assim como as negociações com empresas que foram vítima de ransomware e decidiram não divulgar publicamente que foram atacadas — novamente, nomes não foram revelados aqui. Entre as conversas, também estão papos entre diferentes membros do Conti, falando sobre falhas zero-day que podem ser exploradas em ataques, atualizações de ferramentas de intrusão e operações logísticas de recebimento e pulverização de valores recebidos.

No total, são mais de 107 mil mensagens e 148 arquivos, com destaque para o código-fonte do ransomware usado pela quadrilha, que inclui seu sistema modular de atualizações e as ferramentas responsáveis pelo travamento e desencriptação dos arquivos. Vazaram também APIs relacionadas a outros malwares importantes, como BazarBackdoor e TrickBot, que ainda eram desconhecidos e podem representar ferramentas importantes no combate a ataques envolvendo as duas soluções.

Anteriormente, esse tipo de estudo somente seria possível com acesso à infraestrutura dos criminosos, um segredo, logicamente, muito bem guardado por eles. Enquanto os detalhes do Conti ransomware, em si, já eram conhecidos por meio de engenharia reversa, a liberação pública dos códigos originais também pode representar avanços, assim como perigos, já que outros bandos também podem se aproveitar do vazamento para incrementar suas próprias ferramentas.

Continua após a publicidade

Ataque da Ucrânia em guerra digital contra a Rússia

De acordo com Alex Holden, fundador da empresa de cibersegurança Hold Security, o volume foi vazado por um pesquisador ucraniano que conseguiu se infiltrar nos rincões da quadrilha. Ele próprio, também cidadão do país, não citou a identidade do delator, claro, mas disse que a exposição faz parte dos esforços de guerra digital contra a invasão russa, principalmente no que tocam as operações de combate cibernético que vêm atingindo a infraestrutura e os serviços essenciais do país atacado.

Continua após a publicidade

A retaliação veio após o posicionamento claro do bando. Em publicação, o Conti afirmou estar ao lado do governo da Rússia durante a invasão da Ucrânia e a postos para contra-atacar qualquer atividade cibernética que tente interferir nos esforços de guerra e infraestruturas essenciais do país. O aviso, claro, vale principalmente para governos estrangeiros, também engajados no combate digital ainda que, na luta bélica, não tenham tropas em solo.

Enquanto alguns analistas apontam ser difícil saber exatamente o impacto que o vazamento terá sobre as operações da Conti, principalmente no que toca o escrutínio das autoridades, outros já apontam reflexos diretos. O hacker ético e CEO da Advanced Intel, Vitali Kremez, por exemplo, informou que alguns membros importantes da quadrilha anunciaram “férias” de dois a três meses nesta semana, assim como pelo menos dois de seus líderes, identificados apenas como Silver e Stern. Entretanto, o bando segue em atividade com duas de suas equipes, provavelmente engajadas em operações de combate cibernético com a Ucrânia.

Continua após a publicidade

Fonte: The Verge, Bleeping Computer