0
0
De uma ameaça relativamente rara apenas alguns anos atrás para um dos maiores fazedores de dinheiro para cibercriminosos hoje – a ascensão meteórica do ransomware lançou uma sombra de ansiedade entre empresas de todos os tamanhos.
E com a introdução do ransomware-as-a-service,a barreira de entrada para entrar na ação foi reduzida ainda mais. Tanto que, de fato, grupos de ransomware estão agora tentando resolver sua “escassez de mão-de-obra” recrutando novos membros em fóruns de hackers, que são frequentados por criminosos veteranos e cibercriminosos em ascensão. Mas os cibercriminosos não são os únicos lá.
Pesquisadores de segurança – inclusive no CyberNews – também visitam rotineiramente fóruns de hackers para inteligência de ameaças. E como descobrimos durante esta investigação, tais visitas podem resultar em consequências inesperadas para todos os envolvidos.
Em junho de 2020, enquanto reunimos informações sobre um fórum de hackers popular, nos deparamos com um anúncio de recrutamento peculiar aparentemente postado por um grupo de ransomware. Para obter informações valiosas sobre a perspectiva dos operadores de ransomware, decidimos nos passar por um cibercriminoso russo e respondemos ao anúncio em questão.
Para nossa surpresa, fomos convidados para uma sala de bate-papo privada qTox para uma “entrevista de emprego” com pessoas que alegaram estar associadas a um infame grupo de ransomware. Lá, conhecemos os atores de ameaça que foram supostamente responsáveis por executar uma operação de afiliados de ransomware por mais de 10 anos.
O que se segue é a história de como respondemos à postagem da parceria e do que encontramos durante nossa entrevista com um grupo afiliado dos cartéis de ransomware REvil e Ragnar Locker.
Sobre esta investigação
Para conduzir essa investigação, um de nossos pesquisadores de segurança respondeu a um afiliado de ransomware em um fórum de hackers popular, fingindo ser um cibercriminoso experiente. Ao conversar com os potenciais parceiros no crime, o pesquisador tentou aprender sobre a estrutura e técnicas utilizadas pelos atores de ameaça, bem como seus alvos passados e futuros.
Cartel de ransomware à procura de parceiros no crime
Em junho de 2020, um usuário chamado ‘Desconhecido’ apresentou um post bastante peculiar em um fórum popular de hackers russos, procurando pessoas para participar de seu “programa de afiliados”. No mundo do crimeware-as-a-service, uma ‘afiliada’ é uma pessoa que usa ferramentas maliciosas fornecidas por outro ator de ameaças para cometer ataques cibernéticos contra indivíduos ou organizações de sua escolha – em troca de uma parte dos lucros.
O que fez com que essa postagem em particular se destacasse de seus anúncios típicos de crimeware como serviço, foi o fato de que parecia estar vindo do REvil – também conhecido como Sodinokibi – um dos grupos de ransomware mais notórios do mundo.
A REvil é infame por ser o primeiro cartel de ransomware como serviço a usar a chamada tática de “extorsão dupla”, pela qual o grupo (ou um de seus “afiliados”) ataca e bloqueia uma empresa de seus próprios arquivos, e então dá aos proprietários um incentivo adicional para pagar o resgate ameaçando vender ou até mesmo leiloar os dados roubados para outros cibercriminosos.
Curiosamente, foi em junho de 2020 – época em que essa história se passa – quando a REvil usou pela primeira vez a tática de extorsão dupla quando começou a leiloar dados roubados de uma empresa de produção agrícola canadense que se recusou a pagar um resgate.
Os termos do acordo
O nome potencialmente grande por trás da postagem não foi a única coisa que despertou nosso interesse. Os termos da oferta pareciam bastante tentadores também. De acordo com o anúncio, o afiliado, se aceito, receberia até 70-80% de qualquer resgate pago com sucesso, enquanto o próprio REvil ficaria com os outros 20-30%.
Claramente, a oferta foi boa. Talvez, até bom demais para ser verdade. Então, como potenciais parceiros no crime poderiam ter certeza de que o anúncio foi postado por um representante real do cartel REvil, e não por um golpista, um investigador de segurança, ou um agente disfarçado da Interpol? Bem, o dinheiro fala, e parece que o autor do post falou fluentemente:
Para provar que a postagem era legítima, os recrutadores depositaram publicamente US$ 1 milhão em bitcoin em sua carteira de fórum.
Antes do depósito maciço, a postagem tinha nossa curiosidade. Agora, tinha nossa atenção.
Vocês são gângsteres? – Não, somos russos.
Surpreendentemente, ter as habilidades e experiência certas era apenas parte do processo de aplicação. O recrutador foi inflexível sobre o fato de que o potencial parceiro também tinha que ser um falante nativo russo.
Para eliminar os impostores, a gangue de ransomware verificaria a identidade dos candidatos, questionando-os sobre as curiosidades russas e ucranianas, e o conhecimento popular/rua que “não pode ser pesquisado”. Naturalmente, assumimos o desafio.
Então, poderíamos nos passar por um ator russo experiente? Poderíamos fazer uma entrevista de emprego com um grupo de cibercriminosos? O que poderíamos aprender sobre essa operação de afiliados de ransomware?
Nem preciso dizer que mal podíamos esperar para descobrir.
Entrando
Nota: A comunicação original com os operadores de ransomware foi conduzida em russo e foi traduzida para o inglês para o final deste artigo.
Tendo decidido responder ao anúncio, nos fingimos como uma pessoa interessada em trabalhar com os operadores de ransomware. Enviamos nossos contatos no qTox – um aplicativo de bate-papo popular entre os hackers pelo uso de um protocolo de bate-papo ponto a ponto sobre o Tor – e esperamos.
Alguns dias depois, recebemos uma mensagem de um usuário desconhecido:
Eles nos perguntaram se é a gente que tinha postado a resposta no fórum de hackers, e nos pediram para adicioná-los como um amigo. Depois que aceitamos o pedido do amigo, fomos adicionados a uma conversa em grupo que teve outra pessoa presente no bate-papo.
Ambos usavam apelidos vagos e não identificáveis (um dos quais era apenas um emoji) que divulgava o mínimo de informações sobre as pessoas por trás deles possível: uma tradição honrada entre os cibercriminosos cujas comunidades são conhecidas por sua cultura de desconfiança e suspeita.
A partir da conversa que se seguiu, pudemos perceber que essas pessoas pertenciam a um dos grupos de hackers afiliados aos grupos REvil e Ragnar Locker.
Os atores da ameaça explicaram que estavam trabalhando com o Ragnar Locker – uma popular suíte de ransomware implantada contra dispositivos que executam o Microsoft Windows – e que a equipe já tinha quatro membros ativos. Se pudéssemos fazer a entrevista, nos tornaríamos o quinto membro desta equipe.
After complimenting our fake portfolio, Emoji tried to wow us by bragging about the group’s supposed biggest ransom payout: a whopping $18 million. Once Ragnar Locker took their 30% cut, the group divided the remaining 70% of the massive ransom, with each member taking about $2.5 million home.
According to the other threat actor, the group has had a long and storied 11-year-long career, backed by a “flawless reputation.”
The conversation went on for some more time as we discussed various technicalities and the skills we would provide as the new member of the team. We won’t bore you with all the little details.
In short, the threat actors were interested in whether we would ‘clear the coba’, which meant that they were using Cobalt Strike in post-intrusion exploitation stages. Cobalt Strike is a legitimate threat emulation toolkit used by penetration testers and red teams to assess vulnerabilities and test their systems.
On the other hand, Cobalt Strike is also famously used by cybercriminals, including ransomware operators and their affiliates, due to its flexibility and ease of use. The toolkit has so-called beacons that offer an attacker a number of functionalities such as remote code execution, privilege escalation, lateral movement over the network, and more.
Cashing out
With the technical side of things covered (for the time being), our conversation with the threat actors turned to money. Namely, how we were to receive the crypto from successful extortion attempts (bitcoin accounts for about 98% of ransomware payouts due to it being harder to trace) and how we could then turn that crypto into traditional currencies.
Apparently, the cybercriminals had an insider contact at a cryptocurrency exchange who specialized in money anonymisation and would help us safely cash out (and maybe even launder) our future ransom payouts.
We were told that if we wanted to easily cash out our future ‘earnings’, we were to open an account on that crypto exchange, deposit our ransom payouts there and convert them to USD in multiple ‘small’ instalments of 1$ million. This would be done so as to not raise suspicion or affect the price of bitcoin on cryptocurrency markets that could negatively react to sudden large sell-offs.
Once the full multi-million ransom payout was transferred to the crypto exchange and sold for USD, the insider contact could then convert it to cash and deliver it anonymously to a place of our choosing – for a 4% fee.
Interestingly, the recommended cash out amount was also a manageable $1 million per delivery, which would weigh about 10 kilograms (~22 lbs). According to the threat actors, anything heavier than that would be rather inconvenient, not to mention incredibly unsafe, to transport in person.
During our lengthy back-and-forth, we also attempted to obtain some information about the group’s past escapades. When asked about former targets, however, Emoji was tight-lipped and did not want to divulge anything incriminating.
Having failed to goad Emoji into revealing the group’s past crimes, we then continued our discussion about the specifics of cashing out our future ‘earnings’ from the group’s insider contact at the crypto exchange.
Quando a entrevista chegou ao fim, decidimos ver se nossos entrevistadores não estavam mentindo sobre o esquema de resgate. Depois de uma breve visita à troca indicada pelos atores da ameaça, chegamos a uma conclusão arrepiante: eles devem ter dito a verdade.
… Fim?
Após nossa visita à exchange cripto, os atores de ameaças começaram a discutir vários alvos potenciais para a implantação de ransomware e nos pediram para ajudá-los a realizar ataques contra eles. Nem preciso dizer que não faríamos isso.
Antes de cessarmos toda a comunicação com o grupo, conseguimos obter várias informações sobre esses atores de ameaça:
- Eles selecionam cuidadosamente seus alvos durante um longo período de tempo, priorizando empresas cujas operações diárias os ataques afetariam mais.
- O grupo realiza uma preparação excepcionalmente completa antes de atacar, incluindo pesquisar as finanças de suas vítimas e estimar a probabilidade de pagar o resgate.
- Os atores de ameaça geralmente começam seus ataques nas noites de sexta-feira depois que o pessoal da empresa alvo deixa o escritório. Esses ataques continuam durante todo o fim de semana, quando a probabilidade de ser detectado é muito menor devido à ausência de funcionários de segurança cibernética ou administradores de rede no local.
Proteção contra ataques de ransomware
À luz dessas descobertas, nossa principal recomendação para empresas que desejam evitar ser alvo de gangues de ransomware é empregar uma política de segurança de confiança zero, verificando toda e qualquer conexão recebida dentro ou fora da empresa.
Outra prática recomendada crucial é garantir o backup regular dos dados da empresa para que as operações de negócios não sejam interrompidas por ataques de ransomware.
No entanto, as contramedidas passivas são apenas parte da solução. As empresas também precisarão adotar uma estratégia proativa que inclua:
- Bloquear sites maliciosos e filtrar permitiu que tipos de arquivos impedissem que o malware fosse entregue em dispositivos da empresa
- Manter o software atualizado, habilitar 2FA e usar uma VPN segura para proteger dispositivos com acesso remoto
- Corrigindo VPNs, firewalls, antivírus,dispositivos e infraestrutura, mantendo plataformas obsoletas segregadas para evitar a disseminação de malware através da rede da empresa.
contexto específico e validado localmente para garantir que não estamos perpetuando iniquidades em saúde”, explicou Elish.
FONTE: CYBERNEWS