Criminosos russos e chineses podem estar se unindo para novos ataques
Por Felipe Demartini • Editado por Claudio Yuge |
Duas forças globais parecem estar se unindo no campo dos ataques digitais. Atividades no tradicional fórum cibercriminoso RAMP indicam um movimento de aproximação entre grupos russos e chineses de ransomware, com os usuários do país europeu convidando membros asiáticos para que participem, compartilhem dicas de possíveis alvos e participem de ataques direcionados e coordenados.
- O que é ransomware? Aprenda tudo sobre a ameaça e como removê-la
- Grupo de ransomware ameaça vazar 1,5 TB de dados de empresa brasileira
O alerta foi feito pela empresa de segurança Flashpoint e está relacionado a uma análise da atividade de membros de alto nível do fórum, que estariam usando tradutores automatizados para se comunicarem entre o russo e o chinês. O espaço, com movimento restrito, também teve pelo menos 30 novos registros de usuários do país asiático nas últimas semanas, em uma sugestão de que os criminosos de lá podem estar aceitando as propostas de cooperação.
Segundo os especialistas, essa possibilidade deve servir como sinal de problemas, principalmente, às empresas e organizações governamentais dos Estados Unidos, que podem ser um alvo preferencial e comum. Outra ideia seria o recrutamento de novos talentos internacionais para gangues de ransomware como serviço, principalmente devido à ida de um dos administradores do RAMP à China, onde ele afirma ter se encontrado com outros possíveis associados.
A gangue de ransomware Conti, uma das principais em atividade e responsável por mais de 400 ataques apenas nos EUA, por exemplo, já teria afirmado sua disposição de trabalhar com os chineses. Em publicação, um de seus membros afirma que o grupo normalmente aceita apenas russos, mas abriria uma exceção a pedido dos responsáveis pelo RAMP para troca de figurinhas entre operadores dos dois países.
Atividade semelhante também teria sido vista no XSS, outro fórum focado no cibercrime, onde já está em andamento uma troca de experiências e, principalmente, vulnerabilidades de sistemas em empresas não identificadas. Tais brechas estariam sendo assunto de uma troca de figurinhas entre criminosos e, invariavelmente, devem ser exploradas em ataques no futuro próximo.
Entretanto, a Flashpoint também ressalta que tudo isso pode ser um blefe. A possível associação entre russos e chineses poderia estar sendo usada como cortina de fumaça, chamando a atenção de especialistas e autoridades enquanto as reais operações acontecem de forma mais discreta. Prova disso é que, recentemente, uma postagem em um fórum chamado Groove chamava interessados em participar de um golpe contra uma força policial, de uma cidade não revelada nos EUA, e um time da NBA, ambas farsas.
Por ora, fica o alerta, com a empresa de segurança digital recomendando cautela e atenção a empresas, principalmente dos setores de infraestrutura e serviços essenciais. São elas os principais alvos de operações desse tipo e, também, o foco de ataques cada vez mais direcionados. Apesar do foco nos EUA, o Brasil também parece estar, cada vez mais, surgindo como alvo preferencial de gangues internacionais de ransomware.
RAMP, um novato notável
Aberto no início deste segundo semestre, o fórum RAMP rapidamente ganhou reconhecimento entre operadores de ransomware como serviço, principalmente, pelo foco no compartilhamento de vulnerabilidades e bases de dados roubadas, ainda que tenha sofrido com golpes de negação de serviço em seus primeiros meses. Foi lá, por exemplo, que saíram as mais de 498 mil credenciais obtidas dos sistemas de VPN da Fortinet, abrindo as portas para o acesso a mais de 12 mil dispositivos.
O espaço foi fundado por um dos membros da gangue Babuk, também reconhecida no submundo do cibercrime por ataques às autoridades policiais dos EUA. Foi justamente o escrutínio que levou ao fim do grupo, com seus principais associados se unindo a outras gangues ou oferecendo suas habilidades de forma individual, inclusive, por meio do próprio RAMP.
Fonte: Bleeping Computer