Cibercriminoso revela como funcionam os sequestros digitais por encomenda

Cibercriminoso revela como funcionam os sequestros digitais por encomenda

Por Felipe Gugelmin | Editado por Claudio Yuge | 06 de Agosto de 2021 às 21h00
Divulgação/Pete Linforth/Pixabay

Provando a validade do ditado que diz que não há honra entre ladrões, um ex-membro do Conti, gangue especialista em sequestros virtuais (ransomware), decidiu revelar detalhes sobre as operações das quais participou. O cibercriminoso vazou na internet o material de treinamento usado pelo grupo, que se especializa no que foi batizado como “ransomware como serviço” — ataques feitos sob encomenda que contam com especialistas operando em cada etapa.

O documento foi descoberto e compartilhado por um especialista em segurança, e contém endereços de IP que abrigam o Cobalt Strike C2 — ferramenta usada para garantir o acesso completo aos sistemas infectados. O criminoso também compartilhou um arquivo de 113 MB que contém as diversas ferramentas usadas pela gangue na condução dos ataques de ransomware.

O motivo para a revelação é simples: dinheiro. Enquanto geralmente o núcleo central do Conti fica com 20% a 30% do dinheiro obtido com os sequestros, as pessoas que são contratadas para auxiliar em suas atividades podem receber muito menos. No caso, o criminoso que participou das ações do grupo reclama que só recebeu US$ 1,5 mil (R$ 7,8 mil) por sua contribuição, valor que considerou injusto.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Os documentos revelados pelo cibercriminoso. Imagem: Reprodução/Bleeping Computer

“Claro, eles contratam otários e dividem o dinheiro entre si, e os garotos são alimentados com o que eles dizem quando a vítima paga”, escreveu o cibercriminoso revoltado em um fórum russo. A acusação parece ser que o Conti mente sobre os valores arrecadados nos ataques virtuais, pagando valores abaixo do que seria merecido pelos contratados externos que os ajudaram.

Pesquisadores comprovam veracidade dos documentos

Diante das revelações, o pesquisador de segurança Pancak3 compartilhou uma mensagem no Twitter em que aconselha o bloqueio dos endereços de IP divulgados em meio aos documentos. Segundo um analista de segurança consultado pelo site Bleeping Computer, os arquivos compartilhados incluem manuais para usar o Cobalt Strike, arquivos de texto com listas de comandos e outros materiais perigosos.

“Podemos confirmar baseado em nossos casos ativos. Esse livro de regras bate com os casos ativos do Conti que vemos agora mesmo”, afirmou Vitali Kremez, da Advanced Intel. Para o pesquisador, a documentação mostra como a gangue é sofisticada e organizada, além de servir como um material rico para empresas de segurança, já que revela um grande foco do ataque em persistências do AnyDesk e do software de proteção Atera para sobreviver a detecções.

Fontes ouvidas pelo site afirmam que o cibercriminoso foi afastado pelo Conti após tentar roubar clientes em potencial promovendo um serviço de afiliação próprio. Como vingança, ele decidiu compartilhar publicamente os documentos que lhe haviam sido enviados — provando que, mesmo bastante sofisticado, o sistema de ransomware como serviço não é totalmente protegido contra a cobiça e a insatisfação de pessoas.

Fonte: Bleeping Computer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.