DURANTE ANOS, A RÚSSIA e grupos de crimes cibernéticos agiram com relativa impunidade. O Kremlin e as autoridades locais fecharam os olhos para ataques disruptivos de ransomware, desde que não tenham como alvo empresas russas. Apesar da pressão direta sobre Vladimir Putin para combater os grupos de ransomware, eles ainda estão intimamente ligados aos interesses da Rússia. Um vazamento recente de um dos grupos mais notórios fornece um vislumbre da natureza desses laços – e quão tênues eles podem ser.
Um cache de 60.000 mensagens e arquivos de bate-papo vazados do notório grupo de ransomware Conti fornece vislumbres de como a gangue criminosa está bem conectada na Rússia. Os documentos, revisados pela WIRED e publicados pela primeira vez on-line no final de fevereiro por um pesquisador de segurança cibernética ucraniano anônimo que se infiltrou no grupo, mostram como a Conti opera diariamente e suas ambições cripto. Eles provavelmente revelam ainda mais como os membros da Conti têm conexões com o Serviço de Segurança Federal (FSB) e uma consciência aguda das operações dos hackers militares apoiados pelo governo da Rússia.
Enquanto o mundo lutava para lidar com o surto da pandemia de Covid-19 e as primeiras ondas em julho de 2020, os cibercriminosos de todo o mundo voltaram sua atenção para a crise da saúde. Em 16 de julho daquele ano, os governos do Reino Unido, EUA e Canadá chamaram publicamente os hackers militares apoiados pelo estado da Rússia por tentarem roubar propriedade intelectual relacionada às primeiras vacinas candidatas. O grupo de hackers Cozy Bear, também conhecido como Advanced Persistent Threat 29 (APT29), estava atacando empresas farmacêuticas e universidades usando malware alterado e vulnerabilidades conhecidas, disseram os três governos.
Dias depois, os líderes da Conti falaram sobre o trabalho da Cozy Bear e fizeram referência aos ataques de ransomware. Stern, a figura do CEO de Conti, e Professor, outro membro sênior da gangue, falaram sobre a criação de um escritório específico para “tópicos governamentais”. Os detalhes foram relatados pela primeira vez pela WIRED em fevereiro, mas também estão incluídos nos vazamentos mais amplos da Conti. Na mesma conversa, Stern disse que tinha alguém “externamente” que pagou o grupo (embora não seja declarado para quê) e discutiu assumir os alvos da fonte. “Eles querem muito sobre o Covid no momento”, disse o professor a Stern. “Os ursos aconchegantes já estão descendo a lista.”
“Eles fazem referência à criação de algum projeto de longo prazo e aparentemente descartam a ideia de que eles [a parte externa] ajudariam no futuro”, diz Kimberly Goody, diretora de análise de crimes cibernéticos da empresa de segurança Mandiant. “Acreditamos que é uma referência se ações de aplicação da lei seriam tomadas contra eles, que essa parte externa pode ajudá-los com isso.” Goody ressalta que o grupo também menciona a Avenida Liteyny em São Petersburgo – a sede dos escritórios locais da FSB.
Embora as evidências dos laços diretos de Conti com o governo russo permaneçam indescritíveis, as atividades da gangue continuam a se adequar aos interesses nacionais. “A impressão dos bate-papos vazados é que os líderes da Conti entenderam que podiam operar desde que seguissem as diretrizes tácitas do governo russo”, diz Allan Liska, analista da empresa de segurança Recorded Future. “Parece ter havido pelo menos algumas linhas de comunicação entre o governo russo e a liderança de Conti.”
Em abril de 2021, Mango, um dos principais gestores da Conti que ajuda a organizar o grupo, perguntou ao Professor: “Trabalhamos com política?” Quando o professor pediu mais informações, Mango compartilhou mensagens de bate-papo que tinham com uma pessoa usando o identificador JohnyBoy77 – todos os membros da gangue usam apelidos para ajudar a esconder suas identidades. A dupla estava discutindo pessoas que “trabalham contra a Federação Russa” e a possível interceptação de informações sobre eles. JohnyBoy77 perguntou se os membros do Conti poderiam acessar dados de alguém ligado ao Bellingcat, os jornalistas investigativos de código aberto que expuseram hackers russos e redes secretas de assassinos.
Em particular, JohnyBoy77 queria informações ligadas à investigação de Bellingcat sobre o envenenamento do líder da oposição russa Alexey Navalny. Eles perguntaram sobre os arquivos do Bellingcat sobre Navalny, fizeram referência ao acesso a senhas de um membro do Bellingcat e mencionaram o FSB. Em resposta às conversas do Conti, o diretor executivo do Bellingcat, Christo Grozevm, twittou que o grupo já havia recebido uma dica de que o FSB estava conversando com um grupo de cibercrime sobre hackear seus colaboradores. “Quero dizer, somos patriotas ou o quê?” Mango perguntou ao Professor sobre os arquivos. “Claro que somos patriotas”, responderam.
O patriotismo russo é constante em todo o grupo Conti, que tem muitos de seus membros sediados no país. No entanto, o grupo é internacional em seu escopo, tem membros na Ucrânia e na Bielorrússia e tem ligações com membros mais distantes. Nem todos do grupo concordam com a invasão da Ucrânia pela Rússia, e os membros discutiram a guerra. “Com a globalização desses grupos de ransomware, só porque a liderança da Conti se alinhou bem com a política russa não significa que os afiliados sentiram o mesmo”, diz Liska. Em uma série de conversas que remontam a agosto de 2021, Spoon e Mango conversaram sobre suas experiências na Crimeia. A Rússia invadiu a Crimeia e anexou a região da Ucrânia em 2014, um movimento que os líderes ocidentais dizem que deveriam ter feito mais para impedir. A área era linda, eles disseram, mas Colher não a visitava há 10 anos. “Vou ter que ir ver isso no ano que vem”, disse Spoon. “Criméia russa”.
Embora os membros do grupo façam referência a interesses russos ou agências governamentais, é improvável que estejam trabalhando em nome de autoridades. Membros seniores da Conti podem ter contatos, mas codificadores e programadores comuns não são tão bem conectados. “Acho que é realmente um subconjunto mais limitado de atores que realmente podem ter esses relacionamentos diretos, em vez de operações de grupo em sua totalidade”, diz Goody.
Desde que os arquivos internos da Conti foram publicados nos dias 27 e 28 de fevereiro, o grupo continua trabalhando. “Eles definitivamente reagiram”, diz Jérôme Segura, diretor de inteligência de ameaças da empresa de segurança Malwarebytes. “Você pode ver nos chats que eles estavam fechando algumas coisas e mudando para chats privados. Mas foi realmente um negócio como de costume.” O grupo continuou a postar os nomes e arquivos das vítimas de ransomware em seu site nas semanas desde o vazamento.
O hacking de Conti continua apesar dos pesquisadores de segurança usarem os detalhes nos vazamentos do Conti para potencialmente nomear os membros individuais do grupo. A maior ameaça ao grupo, no entanto, pode vir do próprio governo russo. Em 14 de janeiro, a Rússia tomou sua ação mais significativa contra uma gangue de ransomware. O FSB prendeu 14 membros do grupo REvil após denúncias de autoridades americanas, embora o grupo estivesse praticamente inativo por vários meses. “Ações serão tomadas se as autoridades russas sentirem que os líderes do Conti perderam sua utilidade, mas se o Conti for capaz de continuar ou se eles puderem mudar a marca, provavelmente não haverá ação”, prevê Liska. “Se uma ação for tomada, provavelmente será semelhante à ação tomada contra membros do REvil, com uma série de prisões vistosas, apenas para liberar silenciosamente a maioria dos presos cerca de um mês depois.”
Não está claro se as autoridades tomarão ações semelhantes contra os membros do Conti. Mas eles ficaram paranóicos antes mesmo de seus detalhes vazarem. Em novembro de 2021, o membro do Conti, Kagas, enviou uma mensagem confusa para Stern. “Parecia-nos que estávamos sendo seguidos, pois carros desconhecidos estavam parados no pátio, dois corpos estavam sentados no carro”, escreveram. Kagas fez referência a um processo judicial e que eles parariam de trabalhar até que tudo terminasse. “Os advogados dizem que até o dia 13 é melhor ficar quieto e não fazer nada”, disse Kagas. “Viva uma vida normal. E então veremos o que acontece.”
Fonte: WIRED
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
