A equipe do Trustwave SpiderLabs notou que o site subterrâneo de Stormous se tornou inacessível em 29 de abril. Neste momento não se sabe por que o site está fora do ar. Continuaremos a monitorar informações adicionais sobre ameaças.
Como parte de nossa pesquisa regular sobre a Dark Web e cibercriminosos, o Trustwave SpiderLabs descobriu e analisou postagens de um grupo de ransomware pró-russo politicamente motivado chamado Stormous. O grupo recentemente proclamou apoio à Rússia em sua guerra com a Ucrânia, atacando o Ministério das Relações Exteriores da Ucrânia e supostamente obtendo e tornando públicos números de telefone, endereços de e-mail e carteiras de identidade nacionais. Mas o grupo também afirma ter uma operação de ransomware bem-sucedida e assumiu a responsabilidade por ataques cibernéticos às grandes marcas americanas Coca-Cola, Mattel e Danaher. No total, Stormous afirma já ter acessado e desfigurado 700 sites norte-americanos e atacado 44 empresas americanas.
Em 29 de abril, o grupo listou os dados da Coca-Cola à venda em seu site da Dark Web. No momento da publicação, a Coca-Cola não confirmou nem negou se os dados listados são legítimos. Mais recentemente, a gangue prometeu liberar informações adicionais roubadas da fabricante multinacional de brinquedos Mattel e da empresa de diagnóstico médico e tecnologia de saúde Danaher em 1º de maio.
Quem é Stormous e onde está sua fidelidade?
Stormous, que pode ter começado a operar em meados de 2021, publicou uma declaração de missão afirmando que seu objetivo é atacar alvos nos EUA e em outras nações ocidentais. Essa meta mudou em 2022, adicionando a Ucrânia e a Índia à sua lista de alvos. A maneira como eles discutem os países como seus alvos, em oposição a negócios ou indústrias específicas, sugere que a política influencia mais essas mudanças nas metas do que o ganho financeiro.
Nossa análise inicial de Stormous indica que a gangue provavelmente tem membros localizados em países do Oriente Médio e na Rússia. Algumas das postagens do grupo são escritas em árabe junto com sua postura pública pró-Rússia, que é consistente com a região. Além disso, dois dos membros do grupo que foram presos eram de países do Oriente Médio.
O grupo se comunica através de um canal Telegram e um site .onion no Tor. Há pouca conversa no canal Telegram, com a conversa composta principalmente pelas proclamações do grupo. Embora o grupo se identifique como um grupo de ransomware, ele não está operando como um Ransomware-as-a-Service (RaaS) e não se sabe que tipo de ransomware ele pode estar usando em suas campanhas
Os princípios motivadores e o comportamento do grupo lembram um pouco o grupo de hackers Lapsus$, que tem como alvo entidades principalmente no hemisfério ocidental. Como Lapsus$, Stormous é bastante “barulhento” online e parece atrair atenção para si mesmo, fazendo proclamações chamativas na Dark Web e utilizando o Telegram para se comunicar com seu público e se organizar para determinar quem hackear em seguida.
Click-Bait ou negócio sério?
Stormous afirmou que, em 1º de maio, colocará à venda dados supostamente exfiltrados da fabricante de brinquedos Mattel e Danaher, uma inovadora global em ciência e tecnologia. No entanto, o grupo não definiu o tipo ou a quantidade de dados coletados, e nem a Mattel nem a Danaher relataram ter sofrido um incidente cibernético relacionado.
Stormous já assumiu a responsabilidade por um suposto ataque à Coca-Cola Corp que alega ter acumulado 161 GB de dados. O grupo começou a vender os dados em 24 de abril por 1,6 BTC, ou cerca de US$ 64.000.
A gigante dos refrigerantes confirmou que entrou em contato com a polícia e está investigando um incidente cibernético, mas até agora não ofereceu detalhes sobre o que pode ter acontecido, de acordo com a Security Week.
A captura de tela do site Stormous mostra que os dados que ele vende incluem arquivos com nomes como accounts.zip e passwords.txt. Se esses arquivos realmente contiverem o conteúdo que seus nomes implicam, esse conteúdo poderá ser usado por hackers para explorar maneiras adicionais de se conectar às redes da Coca Cola de maneira não autorizada.
Há algum debate na comunidade de segurança cibernética sobre a validade das alegações de Stormous, especificamente em relação ao hack da Coca-Cola. A comunidade questiona se o grupo realmente violou ou não as empresas nomeadas e exfiltraram dados ou se está apenas vasculhando informações anteriormente roubadas ou públicas. Por exemplo, a Mattel anunciou em novembro de 2020 que havia sido atingida com sucesso por um ataque de ransomware no início daquele ano. Os invasores Stormous podem estar simplesmente compilando esses dados já roubados e empacotando-os como uma ‘nova’ violação na tentativa de ganhar dinheiro rápido.
Stormous também afirmou ter atacado com sucesso vários alvos na Índia e na Arábia Saudita e possivelmente um site do governo chinês.
Stormous também é representativo de outra tendência recente que vê os agentes de ameaças criando uma estrutura e um modelo de negócios “corporativo”. Nesse caso, talvez porque Stormous seja relativamente novo na cena, suas postagens e comunicações parecem ser um exercício de construção de marca. Além disso, ao anunciar antecipadamente a disponibilidade de dados supostamente roubados, o grupo está tentando estimular a demanda como qualquer empresa faria com um novo produto. Finalmente, ao assumir uma postura política, provavelmente espera atrair apoiadores com pontos de vista semelhantes.
Ataques direcionados politicamente motivados
Stormous postou seu apoio à Rússia e alega ter atacado o Ministério das Relações Exteriores da Ucrânia, obtendo e tornando públicos números de telefone, endereços de e-mail e carteiras de identidade nacionais. No entanto, este ataque, como os outros, não foi corroborado.
As ações de Stormous não são únicas. Desde que a guerra Rússia-Ucrânia começou em 14 de fevereiro, grupos de ameaças estão fazendo fila para apoiar cada lado. O Trustwave SpiderLabs relatou essa atividade logo após o início das hostilidades.
Várias fontes usaram o Facebook e outros meios de comunicação social para tentar reunir uma força para conduzir esses ataques. Mais notavelmente, Yegor Aushev, cofundador de uma empresa de segurança cibernética em Kiev, disse à Reuters que escreveu um post pedindo defensores cibernéticos subterrâneos a pedido de um alto funcionário do Ministério da Defesa ucraniano que o contatou.
O Trustwave SpiderLabs observou chamadas semelhantes para armas cibernéticas na Dark Web. Isso inclui links para grupos organizados para atacar entidades russas, sites contendo instruções sobre como conduzir um ataque DDoS e uma lista de alvos recomendados para ataques DDoS.
O grupo Stormous também sinalizou que não vai permitir que outras entidades, como grupos de ransomware, ataquem a Rússia. Stormous declarou que responderá a qualquer ataque contra a Rússia, observando que, se os ataques à Rússia pararem, Stormous interromperá seus esforços.
Uma nova era de cibercriminosos
O novo estilo de grupo de ameaças que Stormous representa, não ter medo de – e de fato buscar a adulação pública – pode tornar seus membros mais suscetíveis a serem encontrados e presos.
Embora possa haver uma vantagem de uma perspectiva de influência e branding para tornar públicas as atividades de hackers, a aplicação da lei pode usar as informações de comunicação para levar os cibercriminosos à justiça mais rapidamente.
O Trustwave SpiderLabs continuará a rastrear a ameaça de Stormous e as atividades do grupo à medida que mais informações estiverem disponíveis.
Fonte: Trustwave
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
