Grupo cibercriminoso diz ter atacado Mandiant para limpar a própria barra

Grupo cibercriminoso diz ter atacado Mandiant para limpar a própria barra

Por Felipe Demartini | Editado por Claudio Yuge | 07 de Junho de 2022 às 13h20
Elements/mstandret

Um caso bizarro começou a se desenrolar nesta segunda-feira (6), depois que o grupo cibercriminoso LockBit disse ter comprometido os sistemas da Mandiant, uma das principais empresas globais de segurança. A promessa era a divulgação de mais de 356,8 mil arquivos, sem pedido de resgate nem contato com a companhia, e se provou mais como uma forma de o bando se distanciar de outra quadrilha do tipo, a Evil Corp, que vem recebendo atenção indesejada do governo dos EUA.

Enquanto a própria Mandant vinha à público afirmar ainda não ter encontrado indícios de comprometimento a seus sistemas, o contador decrescente continuava em andamento no site do LockBit na dark web. Aqui, o primeiro sinal de esquisitice, já que o prazo restante era de apenas horas, ao contrário do período de dias que normalmente é dado pela quadrilha para negociação e pagamento de resgate em casos de ransomware.

Chamava atenção, também, o nome do volume que seria liberado pelo LockBit, Mandiant Yellow Press, uma referência a um domínio que havia sido registrado apenas no último domingo (05) e, até onde se sabe, não pertence à empresa de segurança. Com o fim do contador, veio a divulgação dos dados — ou não, pois o que acabou sendo publicado foi um manifesto da própria quadrilha, distanciando a si mesma da Evil Corp após ter sido associada a ela pela companhia de segurança digital.

Aviso de ransomware contra empresa de segurança Mandiant trazia prazo estranhamente curto e promessa de mais de 300 mil arquivos; no fim, era manifesto do grupo LockBit contra a associação deles com outra quadrilha, a Evil Corp (Imagem: Reprodução/Sergiu Gatlan)

Em vez de mais de 300 mil arquivos, eram apenas dois, nos quais os criminosos comparam a Mandiant à “imprensa marrom”, termo referente a veículos jornalísticos que publicam notícias sem a devida checagem. No texto, os criminosos afirmam que suas ferramentas de ransomware e demais ataques cibernéticos estão disponíveis a todos, muitas vezes publicamente, e que a utilização dos recursos por uma ou outra quadrilha não é indicativo de uma associação direta entre eles.

Apesar de sua origem russa, o LockBit afirma ainda não ter relação alguma com o governo do país, assim como com as administrações dos EUA e outras nações do mundo, assim como demais grupos cibercriminosos que estejam usando suas ferramentas em ataques. O bando afirmou ter ficado surpreso com o relatório da empresa de segurança e afirmou que ela não foi profissional.

Falso ataque seria forma de garantir pagamento de resgates

O caso deste começo da semana está diretamente relacionado a um alerta publicado na última quinta-feira (02), no qual a Mandiant afirma que os criminosos do grupo Evil Corp estariam se afiliando ao LockBit como forma de escapar das sanções e inquéritos que vem sendo aplicados pelo governo dos EUA. O contexto é a guerra da Rússia contra a Ucrânia, na qual a quadrilha se tornou um aliado do Kremlin na guerra digital contra o país invadido e outros que demonstraram apoio a ele.

Enquanto isso, desde fevereiro, o próprio LockBit vem sendo alvo de escrutínio pelas autoridades americanas, com a publicação de alertas e indicadores de comprometimento que seguem uma série de ataques contra empresas gigantes, como a Accenture, bem como indícios de tentativas de comprometimento a redes governamentais. No Brasil, a quadrilha esteve por trás do ataque contra a Atento, empresa de atendimento que protagonizou um dos maiores incidentes desse tipo dos últimos anos em nosso país.

A ideia é que, ao ser associada erroneamente com uma quadrilha que recebeu sanções do governo dos EUA, o LockBit temeria uma baixa no pagamento de resgates por empresas que forem vítimas, mas temerem ser associadas a um grupo russo. A ideia também conversa com vindouras leis que podem proibir acertos desse tipo nos EUA, bem como implantar regras adicionais de divulgação e impedimento de negociações com criminosos.

Em novo comunicado, publicado no final da noite desta segunda, a Mandiant reforçou que não encontrou nenhum indício de comprometimento em suas redes internas. A empresa também afirmou que o caso parece uma tentativa de lançar dúvidas sobre o relatório publicado na última semana, que segue no ar até o momento em que esta reportagem é publicada.

Fonte: Bleeping Computer, Mandiant  

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.