Também conhecida como Atlantis Cyber-Army, a organização emergente tem um líder enigmático e um conjunto central de administradores que oferecem uma variedade de serviços, incluindo vazamentos de dados exclusivos, DDoS e RDP.
Um grupo de cibercriminosos contratados está sentindo a escassez de talentos em tecnologia, assim como o resto do setor, e recorreu ao recrutamento dos chamados “cibermercenários” para realizar hacks ilícitos específicos que fazem parte de campanhas criminosas maiores.
Apelidado de Atlas Intelligence Group (AIG), o cibergangue foi descoberto por pesquisadores de segurança recrutando hackers independentes para executar aspectos específicos de suas próprias campanhas. A AIG, também conhecida como Atlantis Cyber-Army, funciona como uma empresa criminosa de ameaças cibernéticas como serviço. O grupo de ameaças comercializa serviços que incluem vazamentos de dados, negação de serviço distribuído (DDoS), sequestro de protocolo de desktop remoto (RDP) e serviços adicionais de penetração de rede, de acordo com um relatório de quinta-feira da empresa de inteligência de ameaças Cyberint.
“[AIG] nos apresentou ao pensamento inovador”, escreveu Shmuel Gihon, da Cyberint, no relatório.
A AIG, de acordo com pesquisadores, é única em sua abordagem de terceirização para cometer crimes cibernéticos. Grupos de ameaças organizados tendem a recrutar indivíduos com determinados recursos que podem ser reutilizados e incentivá-los com participação nos lucros. Por exemplo, as campanhas de crime organizado Ransomware-as-a-Service podem envolver vários agentes de ameaças – cada um recebendo uma parte de qualquer lucro extorquido ou ativos digitais roubados. O que diferencia a AIG é que ela terceiriza aspectos específicos de um ataque para “mercenários” que não têm mais envolvimento em um ataque.
O autor do relatório, Gihon, disse que apenas os administradores da AIG e o líder do grupo – apelidado de Mr. Eagle – sabem totalmente qual será a campanha e terceirizam tarefas isoladas para contratados com base em suas habilidades.
Modelo de negócio único
Esse modelo de negócios incomum também permite que o grupo, que opera desde o início de maio, ofereça uma gama de serviços cibercriminosos em vez de uma única competência central, disse ele.
“Enquanto muitos grupos estão se concentrando em um, talvez dois serviços que oferecem, a Atlas parece crescer rapidamente e expandir suas operações de maneira eficiente, o que lhes permite oferecer muitos serviços”, escreveu Gihon.
A AIG tende a visar ativos governamentais e estatais em países de todo o mundo, incluindo Estados Unidos, Paquistão, Israel, Colômbia e Emirados Árabes Unidos, descobriram os pesquisadores.
O Sr. Eagle não apenas lidera as campanhas, mas também atua como diretor de marketing, fazendo um esforço significativo na publicidade dos vários serviços cibercriminosos da AIG, disse ele.
Anatomia de um grupo de ameaças
Os pesquisadores mergulharam profundamente em como a AIG opera, comunica e gerencia suas operações, além de observar os serviços específicos de cibercriminosos que ela oferece.
O DDoS parece ser a especialidade do grupo, com a Atlas fornecendo provas sólidas de execução aos clientes por apenas 20 euros por vítima, disseram os pesquisadores. O grupo também oferece um serviço popular de vazamento de dados que se concentra em qualquer coisa que possa ser valiosa para potenciais compradores, disse Gihon.
A AIG publicou bancos de dados vazados de todo o mundo à venda, com um preço inicial de 15 euros, disseram pesquisadores. O grupo teve como alvo vários setores nas violações, incluindo educação, finanças, entidades governamentais, manufatura e tecnologia, disseram eles.
A AIG também tem serviços premium que exigem mais habilidade e demonstram a sofisticação do grupo, disseram os pesquisadores. Um desses produtos são painéis hackeados e acesso inicial a organizações, com preços para esses serviços a partir de cerca de US$ 1.000.
O grupo também oferece “serviços VIP” que reivindicam vínculos com pessoas em cargos policiais em toda a Europa que podem dar aos clientes acesso a informações confidenciais sobre indivíduos específicos, disseram os pesquisadores.
Comunicação multicanal
O Telegram é a plataforma de comunicação escolhida pela AIG, com o grupo operando três canais diferentes do Telegram com milhares de assinantes, disseram os pesquisadores. Um é um mercado de banco de dados para vender bancos de dados vazados e outro é um canal comercial que também inclui anúncios e atualizações do grupo, disseram eles.
A Atlas também opera um canal único no Telegram no qual o Sr. Eagle e os administradores do grupo publicam os contratos que o grupo oferece aos contratados para realizar os ataques. Isso permite que os assinantes se inscrevam dependendo do que eles podem oferecer e ajuda o grupo a recrutar vários cibercriminosos, como red teamers, engenheiros sociais e desenvolvedores de malware, disseram os pesquisadores.
A Atlas vende seus serviços principalmente em uma loja de comércio eletrônico no site Sellix.io, um fórum que oferece pagamento com criptomoeda e atua como corretor, fornecendo ao grupo preocupado com a privacidade uma camada extra de anonimato, disse Gihon.
“Observando o comportamento do grupo em geral e do líder em particular, parece que a segurança da operação (OpSec) é uma prioridade”, escreveu ele.
A (Sr.) Águia Aterrissou
De fato, o líder do grupo é uma figura enigmática que parece comandar um navio apertado em termos de maturidade e profissionalismo geral, exibindo uma tomada de decisão lógica e meticulosa e um comportamento que “não deixa espaço para erros”, escreveu Gihon.
“Mr.Eagle tende a ter regras muito rígidas no gerenciamento do grupo, incluindo banir e expulsar golpistas e outros agentes de ameaças que tentam anunciar seus produtos”, escreveu ele. “Parece que Mr.Eagle mantém uma confiabilidade muito alta entre o grupo.”
Esse tipo de liderança aparentemente é útil ao delegar tarefas a administradores gerais, dos quais a AIG parece ter pelo menos quatro – apelidados de El Rojo, Shawji, S41T4M4 e Coffee, disseram os pesquisadores. Os administradores realizam tarefas diárias de publicidade, bem como gerenciamento de operações de grupo e canais de comunicação, disseram os pesquisadores.
Os empreiteiros contratados, ou “mercenários”, que realizam as atividades nefastas do grupo são o degrau mais baixo da escada estrutural da AIG. Essa parte do grupo é uma porta giratória de cibercriminosos que são contratados para trabalhar apenas em uma campanha específica com base em seu conjunto de habilidades, disseram os pesquisadores.
Fonte: Threatpost
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
