Após apoiar Rússia, grande quadrilha de ransomware tem segredos expostos
Por Felipe Demartini | Editado por Claudio Yuge | 02 de Março de 2022 às 15h13
Uma demonstração de apoio ao governo da Rússia, no contexto da invasão da Ucrânia, levou à exposição de informações sigilosas e detalhes importantes da operação do grupo Conti, uma das principais quadrilhas de ransomware em atividade. O vazamento revelou detalhes da forma como os cibercriminosos trabalham, seus principais operadores, alvos atingidos que ainda não haviam sido revelados e, principalmente, relações entre seus membros e integrantes do governo de Vladimir Putin.
- Guerra digital entre Rússia e Ucrânia já acontece desde 2014 e deve aumentar
- Ucrânia lista mais de 30 alvos para guerra cibernética contra a Rússia
A exposição começou no último final de semana e segue em andamento enquanto essa reportagem é escrita, na medida em que especialistas em segurança digital se debruçam sobre os volumes vazados por um anônimo, supostamente com fortes ligações ao bando. Trata-se de pouco mais de um ano de registros de conversas entre seus operadores, vítimas e outros indivíduos de importância, além de detalhes técnicos sobre os ataques realizados e a infraestrutura usada, valores recebidos e até endereços de carteiras de criptomoedas, algumas ainda com dinheiro oriundo de resgates recebidos.
Os detalhes mostram uma quadrilha organizada, com diferentes times com pelo menos 20 pessoas e uma estrutura de comando organizada que o ligaria a agências de inteligência do governo da Rússia. Apesar de identidades específicas não serem divulgadas, os relatos trazem pelo menos um registro em que um membro do FSB, a principal agência de inteligência do governo Vladimir Putin, solicita um ataque contra um jornalista do site investigativo holandês Bellingcat.
Todo o contato aconteceu pelo mensageiro Jabber, assim como as negociações com empresas que foram vítima de ransomware e decidiram não divulgar publicamente que foram atacadas — novamente, nomes não foram revelados aqui. Entre as conversas, também estão papos entre diferentes membros do Conti, falando sobre falhas zero-day que podem ser exploradas em ataques, atualizações de ferramentas de intrusão e operações logísticas de recebimento e pulverização de valores recebidos.
No total, são mais de 107 mil mensagens e 148 arquivos, com destaque para o código-fonte do ransomware usado pela quadrilha, que inclui seu sistema modular de atualizações e as ferramentas responsáveis pelo travamento e desencriptação dos arquivos. Vazaram também APIs relacionadas a outros malwares importantes, como BazarBackdoor e TrickBot, que ainda eram desconhecidos e podem representar ferramentas importantes no combate a ataques envolvendo as duas soluções.
Anteriormente, esse tipo de estudo somente seria possível com acesso à infraestrutura dos criminosos, um segredo, logicamente, muito bem guardado por eles. Enquanto os detalhes do Conti ransomware, em si, já eram conhecidos por meio de engenharia reversa, a liberação pública dos códigos originais também pode representar avanços, assim como perigos, já que outros bandos também podem se aproveitar do vazamento para incrementar suas próprias ferramentas.
Ataque da Ucrânia em guerra digital contra a Rússia
De acordo com Alex Holden, fundador da empresa de cibersegurança Hold Security, o volume foi vazado por um pesquisador ucraniano que conseguiu se infiltrar nos rincões da quadrilha. Ele próprio, também cidadão do país, não citou a identidade do delator, claro, mas disse que a exposição faz parte dos esforços de guerra digital contra a invasão russa, principalmente no que tocam as operações de combate cibernético que vêm atingindo a infraestrutura e os serviços essenciais do país atacado.
A retaliação veio após o posicionamento claro do bando. Em publicação, o Conti afirmou estar ao lado do governo da Rússia durante a invasão da Ucrânia e a postos para contra-atacar qualquer atividade cibernética que tente interferir nos esforços de guerra e infraestruturas essenciais do país. O aviso, claro, vale principalmente para governos estrangeiros, também engajados no combate digital ainda que, na luta bélica, não tenham tropas em solo.
Enquanto alguns analistas apontam ser difícil saber exatamente o impacto que o vazamento terá sobre as operações da Conti, principalmente no que toca o escrutínio das autoridades, outros já apontam reflexos diretos. O hacker ético e CEO da Advanced Intel, Vitali Kremez, por exemplo, informou que alguns membros importantes da quadrilha anunciaram “férias” de dois a três meses nesta semana, assim como pelo menos dois de seus líderes, identificados apenas como Silver e Stern. Entretanto, o bando segue em atividade com duas de suas equipes, provavelmente engajadas em operações de combate cibernético com a Ucrânia.
Fonte: The Verge, Bleeping Computer