Uma condenação entre máfias da ‘dark web’ derrubou o grupo de cibercriminosos que atacou a Câmara Municipal de Sevilha e milhares de entidades |  Tecnologia


Notificação policial de intervenção na página de acesso do LockBit após a ação internacional contra o grupo de sequestro e extorsão em fevereiro passado.APOSTILA (via REUTERS)

O teia escura, a rede obscura escondida dos motores de busca, que oculta o IP (identidade dos dispositivos com os quais se trabalha) e acessível apenas através de navegadores específicos, não é um mundo sem regras, apesar de ser a plataforma para atividades criminosas informáticas, pedofilia, tráfico de seres humanos ou venda ilegal de armas e drogas. Como todas as máfias, elas têm as suas regras e violá-las acarreta punições. A violação de uma dessas leis, a da distribuição de dinheiro obtido por meio de extorsão, foi o que derrubou a LockBit, a maior organização de sequestro e chantagem. Entre os muitos crimes atribuídos desde a sua detecção em 2019, retirou do ar o site da Câmara Municipal de Sevilha, o Porto de Lisboa, o gabinete orçamental da Califórnia, um hospital infantil de Toronto e milhares de empresas. A operação policial internacional contra esta conspiração, que resultou em dois detidos na Europa de Leste, foi possível após a sua condenação na sociedade criminosa. O grupo criminoso está agora tentando ressurgir.

O Agência Nacional do Crime (NCA) do Reino Unido anunciou em 20 de fevereiro que havia “assumido o controle dos serviços LockBit” após se infiltrar na rede mafiosa em uma operação chamada Crono. Em coordenação com a Europol, duas pessoas foram detidas na Polónia e na Ucrânia e 200 contas de criptomoedas foram confiscadas. Quatro outros supostos atores maliciosos foram indiciados nos Estados Unidos.

“Esta investigação contra o grupo de crimes cibernéticos mais prejudicial do mundo demonstra que nenhuma operação criminosa, onde quer que esteja localizada, e por mais avançada que seja, está fora do alcance da agência e dos nossos parceiros. Nós temos hackeado para o hackers [piratas informáticos]; assumiram o controle de sua infraestrutura, obtiveram seu código-fonte e descriptografaram as chaves que ajudarão as vítimas a descriptografar seus sistemas. De hoje [20 de febrero]O LockBit está bloqueado”, diz o diretor da NCA, Graeme Biggar.

O diretor da Agência Federal de Investigação dos Estados Unidos (FBI) partilha a euforia: “O FBI e os nossos parceiros perturbaram com sucesso o ecossistema criminoso LockBit, que representa uma das variantes do ransomware [extorsión por el secuestro de sistemas informáticos] mais prolífico do mundo.

Sergey Shaykevich, diretor do Grupo de Ameaças Check Point.
Sergey Shaykevich, diretor do Grupo de Ameaças Check Point.CP

Mas esta operação policial internacional foi o fim de um processo que já tinha começado no teia escura e esse foi o gatilho inicial para o desmantelamento da equipe criminosa. Conforme descrito por Sergey Shaykevich, diretor do Check Point Threat Group durante uma encontro multinacional em Viena (CPX), a origem da queda foi uma disputa sobre os benefícios da extorsão que foi resolvida em um julgamento entre criminosos e um recurso sem sucesso que resultou em sentença de desaparecimento. “LockBit foi bloqueado nos fóruns [de la dark web] e então caiu. É um golpe duplo”, resume.

LockBit e outras organizações semelhantes usam ransomware como serviço (RaaS). De acordo com a empresa de segurança Kasperskysão programas que são acessados ​​através do teia escura, como as aplicações usuais de ambientes de trabalho web convencionais ou limpos. “Os interessados ​​deixam um depósito para utilizar os programas que forem contratados. “Os pagamentos do resgate são divididos entre a equipe de desenvolvedores do LockBit e os invasores, que recebem até três quartos do valor da extorsão uma semana depois, se os objetivos forem alcançados.”

Shaykevich relata que o litígio que deu origem ao julgamento contra a LockBit ascendeu a 20 milhões de euros. “A reputação em ransomware É o mais importante”, comenta o chefe de ameaças da Check Point para explicar como um desentendimento entre criminosos levou à queda de uma gigante do cibercrime.

Uma das últimas vítimas do grupo foi a Câmara Municipal de Sevilha, à qual a LockBit reclamou mais de um milhão e meio de euros para a recuperação de sistemas informáticos municipais no passado mês de setembro. O Conselheiro para a Transformação Digital, Juan Bueno, disse após o sequestro que os agressores eram “de origem holandesa”.

O acontecimento e a primeira atribuição do vereador, que teve eco em vários meios de comunicação social, mostraram que a Câmara Municipal carecia da protecção necessária e que o responsável pela Transformação Digital desconhecia a LockBit, “a organização do ransomware mais prolífico do mundo”, segundo o ministro do Interior britânico, James Cleverly.

“Da Holanda? Não, não, não. A maioria está baseada na Rússia. Os dois presos na Polônia e na Ucrânia não são os membros principais, que estão na Rússia”, diz Shaykevich.

Esta falsa origem holandesa referia-se à localização do último servidor de onde se originou o e-mail com o link malicioso que levou ao sequestro. Estes sistemas informáticos para tráfego de dados, no teia escura, Eles são usados ​​para criptografia sucessiva que impede o rastreamento. Segundo a ANC, a operação Crono Isto levou ao desmantelamento de 28 servidores LockBit.

Possível renascimento

No entanto, o julgamento na dark internet e a subsequente operação policial internacional não implica o fim de toda a infraestrutura LockBit, que aspira continuar no mercado de ataques de sequestro e extorsão porque representam, segundo estimativas de Shaykevich, mais de 200 milhões de pessoas. euros de rendimentos todos os anos.

Um suposto responsável pelo grupo afirmou em comunicado que a intervenção policial foi possível devido a uma “vulnerabilidade na linguagem de programação PHP”. Este nome refere-se ao sistema de pré-processador de hipertexto de código aberto, comum no desenvolvimento de páginas web. “Todos os outros servidores com blogs de backup que não tinham PHP instalado não foram afetados e continuarão a entregar dados roubados das empresas atacadas”, afirma a alegada alegação em inglês e russo. hacker.

As empresas de segurança já detectaram essas tentativas de recomposição, mas questionam a viabilidade de continuar com o mesmo nome após a crise de reputação criminosa gerada pela disputa no teia escura e depois de ter demonstrado uma vulnerabilidade explorada pela polícia internacional. “Enquanto as pessoas não forem presas, muito provavelmente mudarão e construirão uma nova organização com um novo nome. Mas o passo que foi dado é importante e mostra que a aplicação da lei funciona e que você pode ser punido”, explica Shaykevich.

Christopher Asher Wray, diretor do FBI, concorda: “Esta operação [Cronos] Demonstra tanto a nossa capacidade como o nosso compromisso em defender a segurança cibernética contra qualquer agente malicioso que procure afetar o nosso modo de vida. “Continuaremos a trabalhar com os nossos aliados nacionais e internacionais para identificar, interromper e dissuadir ameaças cibernéticas e responsabilizar os perpetradores.”

Você pode seguir EL PAÍS Tecnologia em Facebook e x ou cadastre-se aqui para receber nossos boletim informativo semanal.

Inscreva-se para continuar lendo

Leia sem limites

_





Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here