Cibercriminoso revela como funcionam os sequestros digitais por encomenda
Por Felipe Gugelmin • Editado por Claudio Yuge |
Provando a validade do ditado que diz que não há honra entre ladrões, um ex-membro do Conti, gangue especialista em sequestros virtuais (ransomware), decidiu revelar detalhes sobre as operações das quais participou. O cibercriminoso vazou na internet o material de treinamento usado pelo grupo, que se especializa no que foi batizado como “ransomware como serviço” — ataques feitos sob encomenda que contam com especialistas operando em cada etapa.
- Empresa de transporte de valores Protege sofre tentativa de sequestro digital
- Projeto internacional oferece 151 ferramentas gratuitas contra sequestro digital
- Maior petrolífera do mundo confirma sequestro de dados; bandidos pedem US$ 50 mi
O documento foi descoberto e compartilhado por um especialista em segurança, e contém endereços de IP que abrigam o Cobalt Strike C2 — ferramenta usada para garantir o acesso completo aos sistemas infectados. O criminoso também compartilhou um arquivo de 113 MB que contém as diversas ferramentas usadas pela gangue na condução dos ataques de ransomware.
O motivo para a revelação é simples: dinheiro. Enquanto geralmente o núcleo central do Conti fica com 20% a 30% do dinheiro obtido com os sequestros, as pessoas que são contratadas para auxiliar em suas atividades podem receber muito menos. No caso, o criminoso que participou das ações do grupo reclama que só recebeu US$ 1,5 mil (R$ 7,8 mil) por sua contribuição, valor que considerou injusto.
“Claro, eles contratam otários e dividem o dinheiro entre si, e os garotos são alimentados com o que eles dizem quando a vítima paga”, escreveu o cibercriminoso revoltado em um fórum russo. A acusação parece ser que o Conti mente sobre os valores arrecadados nos ataques virtuais, pagando valores abaixo do que seria merecido pelos contratados externos que os ajudaram.
Pesquisadores comprovam veracidade dos documentos
Diante das revelações, o pesquisador de segurança Pancak3 compartilhou uma mensagem no Twitter em que aconselha o bloqueio dos endereços de IP divulgados em meio aos documentos. Segundo um analista de segurança consultado pelo site Bleeping Computer, os arquivos compartilhados incluem manuais para usar o Cobalt Strike, arquivos de texto com listas de comandos e outros materiais perigosos.
“Podemos confirmar baseado em nossos casos ativos. Esse livro de regras bate com os casos ativos do Conti que vemos agora mesmo”, afirmou Vitali Kremez, da Advanced Intel. Para o pesquisador, a documentação mostra como a gangue é sofisticada e organizada, além de servir como um material rico para empresas de segurança, já que revela um grande foco do ataque em persistências do AnyDesk e do software de proteção Atera para sobreviver a detecções.
Fontes ouvidas pelo site afirmam que o cibercriminoso foi afastado pelo Conti após tentar roubar clientes em potencial promovendo um serviço de afiliação próprio. Como vingança, ele decidiu compartilhar publicamente os documentos que lhe haviam sido enviados — provando que, mesmo bastante sofisticado, o sistema de ransomware como serviço não é totalmente protegido contra a cobiça e a insatisfação de pessoas.
Fonte: Bleeping Computer