‘Eu vasculhei os montes de lixo… agora sou milionário:’ Uma entrevista com o REvil’s Unknown

Views: 88
0 0
Read Time:10 Minute, 12 Second

Nota do Editor: É inegável que o ransomware é o grande gerador de dinheiro no crime cibernético no momento. E alguns grupos que procuram fazer fortuna estão agressivamente empurrando os limites, elevando suas demandas para quantias de sete ou oito dígitos, ameaçando liberar dados on-line se os pagamentos não forem feitos e visando hospitais e outras organizações vulneráveis.

Um grupo que ganhou destaque por suas táticas audaciosas e lucrativas é o REvil, também conhecido como Sodinokibi. O grupo executa uma operação de ransomware como serviço, na qual os desenvolvedores vendem malware para afiliados que o usam para bloquear os dados e dispositivos de uma organização.

Além de publicar dados de vítimas on-line quando as empresas não pagam demandas, a REvil atraiu a atenção por tentar extorquir o então presidente Donald Trump e alegar trazer US$100 milhões em receita de suas operações. E de acordo com um representante da REvil que usa o pseudônimo “Desconhecido”, o grupo tem grandes planos para 2021.

Algumas das reivindicações da Unknown, como afiliadas com acesso a sistemas de lançamento de mísseis balísticos e usinas nucleares, parecem estranhas—até que você leia relatórios que os façam parecer assustadoramente plausíveis. O Registro não é capaz de verificar as afirmações. Desconhecido conversou recentemente com o analista especialista em inteligência contra ameaças da Recorded Future, Dmitry Smilyanets, sobre o uso de ransomware como arma, ficar fora da política, experimentar novas táticas e muito mais. A entrevista foi realizada em russo e traduzida para o inglês com a ajuda de um tradutor profissional, e foi editada para maior clareza.

Dmitry Smilyanets: Desconhecido, como você decidiu entrar no negócio de ransomware?

Desconhecido: Falando pessoalmente, foi há muito tempo. Desde 2007, quando havia winlockers e SMS. Mesmo assim, trouxe um bom lucro.

DS: Você tinha um depósito de US$1 milhão em um fórum de hackers e mencionou US$100 milhões em receita—considerando que você recebe pagamentos em criptomoeda, então hoje você provavelmente tem meio bilhão de dólares. Quanto é suficiente para fazer você desistir do ransomware?

UNK: Você contou tudo corretamente. O depósito foi retirado precisamente por causa da taxa de câmbio. Para mim, pessoalmente, não há valor máximo. Eu adoro fazer isso e lucrar com isso. Nunca há muito dinheiro—mas sempre há o risco de não haver dinheiro suficiente. Embora, se falamos de anunciantes, alguém sentisse que US$50 milhões fossem suficientes e ele se aposentou. No entanto, depois de quatro meses, ele voltou—acontrou que não era dinheiro suficiente. Pense nisso.

Para mim, pessoalmente, não há valor máximo. Eu adoro fazer isso e lucrar com isso. Nunca há muito dinheiro—mas sempre há o risco de não haver dinheiro suficiente.”

DS: Você disse anteriormente que permanece apolítico e está puramente motivado financeiramente. Mas se você decidir que ganhou dinheiro suficiente, seu ponto de vista poderia mudar e você decidir impactar a geopolítica?

UNK: Eu realmente não quero ser uma moeda de troca. Nós nos descolhemos contra a política e nada de bom aconteceu—apenas perdas. Com as relações geopolíticas atuais, tudo é muito benéfico para nós, mesmo sem qualquer interferência.

DS: O que torna o REvil tão especial? O código? Afiliados? Atenção da mídia?

UNK: Acho que é tudo isso trabalhando juntos. Por exemplo, esta entrevista. Parece que, por que precisaríamos? Por outro lado, é melhor darmos do que nossos concorrentes. Ideias incomuns, novos métodos e reputação da marca dão bons resultados. Como eu disse, estamos criando um novo ramo de desenvolvimento para extorsão. Se você olhar para os concorrentes, infelizmente, muitas pessoas simplesmente copiam nossas ideias e o que é mais surpreendente—o estilo do texto de nossas mensagens. É bom—eles tentam mostrar que são tão bons quanto nós, tentando alcançar o nível e até mesmo se esforçando para superar em algo. E em algumas coisas eles já são melhores. Por exemplo, com essas versões do Linux e assim por diante. Mas isso é temporário. Claro, estamos trabalhando em tudo isso também, mas com uma ressalva—tudo será muito melhor. Portanto, um pouco mais devagar.

DS: A Criptografia de Curva Elíptica (ECC) foi uma escolha muito boa [nota do editor: o ECC tem um tamanho de chave menor do que o sistema de chave pública baseado em RSA, o que o torna atraente para afiliados] do que mais você se orgulha, de que parte do código? Como você decide quando é hora de novos recursos no código?

UNK: Uma pesquisa por IOCP [Porta de conclusão de entrada/saída], uma conexão traseira emprestada de caranguejos [carteiros], um sistema de proteção do lado do servidor—há muitas vantagens, é melhor ler resenhas AV. Pessoalmente, eu realmente gosto do sistema de criptografia. Ficou quase perfeito.

DS: Fiquei impressionado com a variedade de empacotadores e criptográficos que vi com seu malware. Você os vende para outros? Eu vi um usado em uma amostra de malware Maze uma vez. Você os vende ou um de seus funcionários se mudou para um concorrente?

UNK: Os parceiros geralmente trocam de programa de afiliados e, por causa disso, há esse tipo de variedade.

DS: Pavel Sitnikov disse que você comprou o código GandCrab de Maksim Plakhtiy, isso é verdade?

UNK: É verdade que nós o compramos, mas os nomes e assim por diante são desconhecidos para nós. Mesmo que fosse o Gene Podre, não nos importamos.

DS: Você acredita que o ransomware é uma arma perfeita para a guerra cibernética? Você tem medo de que um dia possa começar uma guerra de verdade?

UNK: Sim, como arma pode ser muito destrutivo. Bem, eu sei, no mínimo, que várias afiliadas têm acesso a um sistema de lançamento de mísseis balísticos, um para os EUA. Cruzador da Marinha, um terceiro para uma usina nuclear e um quarto para uma fábrica de armas. É bastante viável começar uma guerra. Mas não vale a pena—as consequências não são lucrativas.

Como uma arma [ransomware] pode ser muito destrutiva… É bastante viável começar uma guerra. Mas não vale a pena—as consequências não são lucrativas.”

DS: Que outras regiões além da CEI [composta principalmente por repúblicas pós-soviéticas] você tenta evitar? Que organizações nunca pagam?

UNK: Toda a CEI, incluindo Geórgia e Ucrânia. Principalmente por causa da geopolítica. Em segundo lugar, por causa das leis. Em terceiro lugar, para alguns, por causa do patriotismo. Países muito pobres não pagam—Índia, Paquistão, Afeganistão e assim por diante.

DS: Você mencionou anteriormente que você e seus afiliados entendem os riscos de ir para o exterior e não viajam. Você acha que pode haver “ventos de mudança” e a aplicação da lei local começará a prestar atenção às suas operações?

UNK: Se entrarmos na política, sim. Se olharmos para os países da CEI, sim. Para todo o resto—permanecemos neutros.

DS: Os criminosos da velha guarda causam algum problema?

UNK: Eles não.

DS: Qual é a sua reação habitual quando você vê uma gangue ou afiliado de ransomware sendo acusado ou preso? Netwalker e Egregor reduziram suas operações desde os ataques, como você se sente sobre isso?

UNK: Neutro. Este é um fluxo de trabalho normal. Devido ao fechamento do Labirinto, só aumentamos o número de afiliados promissores. Então, para nós, eu diria que é positivo, de certa forma.

DS: Qual foi o maior número de afiliados que você já teve ao mesmo tempo?

UNK: 60.

DS: Quando eles saem, é porque acabaram com ransomware ou porque pulam para outro ransomware como serviço para melhores taxas? Isso cria algum problema ou problema para você quando um afiliado se muda para um concorrente?

UNK: Definitivamente há dois lados nisso. 30% saem porque ganharam o suficiente. Mas, naturalmente, eles sempre voltam mais cedo ou mais tarde. Caso contrário, sim, eles vão para concorrentes que despejam as taxas (até 90% e assim por diante). Claro, isso é desagradável, mas isso é competição. Isso significa que precisamos garantir que as pessoas retornem. Dê a eles o que os outros não fazem.

DS: Alguns operadores dão uma porcentagem de seus ganhos a instituições de caridade. Qual é a sua opinião sobre isso? Para quem você gostaria de doar um milhão?

UNK: Projetos gratuitos para anonimato.

DS: Como sua interação com as organizações de vítimas mudou desde o início da pandemia?

UNK: Definitivamente mudou. A crise é palpável, eles não conseguem pagar os mesmos valores de antes. Exceto para fabricantes de produtos farmacêuticos. Acho que vale a pena prestar mais atenção a eles. Eles estão indo muito bem. Precisamos ajudá-los.

DS: Seus operadores têm como alvo organizações que têm seguro cibernético?

UNK: Sim, este é um dos pedaços mais saborosos. Especialmente para hackear as seguradoras primeiro—para obter sua base de clientes e trabalhar de maneira direcionada a partir daí. E depois de examinar a lista, acerte a própria seguradora.

DS: Como você trata os negociadores de ransomware? É mais fácil lidar com profissionais? Eles ajudam ou dificultam?

este é um dos pedaços mais saborosos. Especialmente para hackear as seguradoras primeiro—para obter sua base de clientes e trabalhar de maneira direcionada a partir daí. E depois de examinar a lista, vá para a própria seguradora.”

UNK: 70% estão lá apenas para derrubar o preço. Muitas vezes eles dificultam as coisas. Bem, por exemplo, a empresa tem uma receita de US$1 bilhão. Eles estão sendo resgatados por US$1 milhão. O negociador vem e diz, não nos importamos, não daremos mais de US$15.000. Reduzimos o preço para US$900.000. Ele oferece US$20.000. Bem, então entendemos que a conversa com ele não tem sentido e começamos a publicar os dados para que os donos da rede batam nele de cabeça para negociar assim. E, claro, depois desses tipos de truques, o preço só sobe. Em vez de US$1 milhão, eles pagarão um e meio. Ninguém gosta de regateadores, especialmente exibições. Então, na maioria das vezes, é provável que eles causem mais danos. Eles só ajudam puramente na compra de BTC ou Monero. O resto é prejudicial.

DS: Você recomenda algum negociador específico para as empresas comprometidas ou eles agem por conta própria? Nem todo mundo tem 100 BTC à mão para comprar os dados e não é tão fácil chegar em curto prazo.

Terminar com o DDoS é matar a empresa. Literalmente. Também acho que vamos expandir essa tática para a perseguição ao CEO e/ou fundador da empresa.”

UNK: Escrevemos para intermediários decentes para que eles saibam o alvo para que possam alcançar a si mesmos. Damos bons descontos a intermediários decentes para que eles possam lucrar um pouco e as empresas paguem menos. E em termos de prazos—sempre podemos dar algum tempo extra. Em geral, se houver um entendimento de que você tem que pagar, sem outras opções, mas não tanto, encontraremos uma linguagem comum. Mas se recebermos mensagens delirantes como: “Não há dinheiro” ou “Vamos pagar um décimo”, você não tem ninguém para culpar além de si mesmo.

DS: Você disse que gosta de aplicar pressão adicional através do DDoS [nota do editor: ataques distribuídos de negação de serviço envolvem inundar um site com tráfego de lixo, tornando-o inacessível]. Quão eficaz é esse esquema?

UNK: Não o usamos com frequência, em contraste com as chamadas. Ligar dá um resultado muito bom. Chamamos cada alvo, bem como seus parceiros e jornalistas—a pressão aumenta significativamente. E depois disso, se você começar a publicar arquivos, bem, é absolutamente lindo. Mas acabar com o DDoS é matar a empresa. Literalmente. Também acho que vamos expandir essa tática para a perseguição ao CEO e/ou fundador da empresa. OSINT pessoal, bullying. Acho que essa também será uma opção muito divertida. Mas as vítimas precisam entender que quanto mais recursos gastarmos antes que seu resgate seja pago—tudo isso será incluído no custo do serviço. =)

DS: Conte-me um segredo.

UNK: Quando criança, eu vasculhava os montes de lixo e fumei pontas de cigarro. Caminhei 10 km até a escola. Usei as mesmas roupas por seis meses. Na minha juventude, em um apartamento comum, eu não comi por dois ou mesmo três dias. Agora eu sou um milionário.

FONTE: THE RECORD

Previous post Microsoft compartilha como hackers do SolarWinds escaparam da detecção
Next post Pesquisa revela que 70% dos brasileiros temem ser espionados pela webcam

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *