Famosa gangue de ransomware encerra operações e se divide em grupos menores

O grupo de ransomware Conti, um dos maiores da atualidade no cenário atual de ameaças, está encerrando oficialmente suas operações. Nesta semana, infraestruturas e servidores que disponibilizavam as atividades do bando foram desligados, enquanto seus membros foram avisados sobre o fim das atividades, enquanto integrantes de destaque e experiência começam a se unir em grupos menores.

• Ransomware se torna mais sofisticado e já atingiu metade das empresas do Brasil
• 72% das empresas tiveram backups atingidos durante golpes de ransomware

Trata-se, possivelmente, de um reflexo do escrutínio cada vez maior das autoridades, com o governo americano chegando a oferecer uma recompensa milionária por informações sobre os criminosos, enquanto o governo da Costa Rica sofre sob os ataques digitais. Esta última ocorrência, entretanto, seria parte do show, já que o especialista em segurança Yelisey Boguslavskiy, da Advanced Intel, afirma que tudo não passa de uma grande farsa para, sim, acabar com o Conti, enquanto toda a operação de ransomware se torna mais forte e disseminada.

De acordo com ele, o golpe contra sistemas do governo costa-riquenho serviu, justamente, para que a existência e o fim do grupo fossem amplamente divulgados. Isso teria sido dito por líderes do Conti durante a fase de preparação e explicaria, ainda, o resgate relativamente baixo solicitado, de cerca de US$ 1 milhão, que não condiz com a extensão do golpe e com o fato de o atingido ser um governo.

Apenas o site em que o Conti publicava seus alvos recentes, valores de resgates e dados vazados permanece no ar na dark web, mas sem que seus administradores possam fazer alterações, já que os painéis de controle foram desligados. Chats internos, servidores de controle de malware e outros recursos também foram desativados, enquanto os integrantes da quadrilha passam a fazer parte de outros bandos menores, também focados em ransomware.

Entre os grupos que ganharam adições de tal peso estão o BlackCat, Bazarcall, BlackByte, HelloKitty, Hive e AvosLocker, com um fluxo, principalmente, de programadores, especialistas em penetração, operadores e negociadores. Seria, claro, também uma maneira de garantir mais mobilidade aos integrantes, diante da atenção maior das autoridades globais sobre suas atividades recentes.

Conti pode ter "comprado" gangue de ransomware rival

O relatório da Advanced Intel levanta, ainda, a possibilidade de o Conti ter “comprado” inteiramente um grupo rival, que passa a agir com membros originais, mas sob uma nova marca, também de forma a chamar menos atenção. O nome desta quadrilha, porém, não foi revelado.

A quadrilha começou suas atividades em 2020, mas foi apenas agora que passou a ser o foco de monitoramento e operações de autoridades globais, principalmente depois de se posicionar a favor do governo da Rússia durante a invasão da Ucrânia. Entre atos motivados pelo conflito ou não, estão ataques cibercriminosos ao governo da Irlanda e também administrações regionais dos EUA, bem como empresas de tecnologia, suprimento e serviços essenciais.

O alinhamento político, entretanto, também levou a revezes que envolveram o vazamento de códigos-fonte de soluções de ransomware e de informações pessoais de seus integrantes. Enquanto isso, neste mês de maio, o governo dos Estados Unidos anunciou recompensas de até US$ 10 milhões para quem entregasse informações que levassem à localização, prisão e indiciamento de integrantes da quadrilha. Enquanto isso, no Brasil, o Conti aparece como uma das ameaças de sequestro digital mais presentes, representando 16% dos ataques realizados no país.

Fonte: Bleeping Computer