0
0
A guerra da Rússia na Ucrânia abalou o ciberespaço em todos os níveis, desde ameaças persistentes avançadas (APTs) de estado-nação até carders de baixo nível em fóruns da Dark Web.
Um novo relatório da Recorded Future destaca os muitos efeitos que a invasão russa da Ucrânia, agora há um ano, teve no ciberespaço. Atores de ameaças foram afastados de seus computadores. Aliados se tornaram inimigos. A atividade do cibercrime mudou e as estruturas de poder foram reorganizadas, até porque as pessoas estão se movendo fisicamente.
Tudo isso equivale a uma espécie de dissolução grandiosa e multifacetada. Uma análise do estado de coisas do cibercrime. O submundo digital voltará a ser o mesmo?
Os cibercriminosos estão se mudando
A Internet quebra barreiras. Mesmo milhares de quilômetros não podem impedir que um hacker na Rússia ou na Ucrânia invada o banco de dados de uma corporação na França ou no Canadá. E, no entanto, o movimento físico após a guerra teve impactos duradouros sobre como os cibercriminosos estão operando.
Por um lado, é claro, os ucranianos emigraram em massa de seu país.
“Acreditamos que alguns grupos de agentes de ameaças baseados na Ucrânia também fugiram quando a guerra começou, semelhante a seus colegas russos”, disse Alex Leslie, analista associado de inteligência de ameaças da Recorded Future, ao Dark Reading.
O relatório refere-se ao caso de Mark Sokolovsky, principal desenvolvedor do Raccoon Stealer – um malware que rouba informações – que fugiu da Ucrânia para evitar o recrutamento.
“Embora este seja apenas um estudo de caso”, diz Leslie, “acreditamos que é indicativo de uma tendência maior na qual os agentes de ameaças fugiram da Rússia, Ucrânia e até da Bielo-Rússia para evitar conflitos”.
Enquanto isso, a Rússia tem experimentado, como dizem os autores, uma “fuga de cérebros”, com profissionais de TI e segurança cibernética deixando o país para os vizinhos Geórgia, Cazaquistão, Finlândia e Estônia. Além disso, a convocação de jovens em idade de lutar levou os atores de ameaças de trás das telas para as linhas de frente.
Como resultado, o país “começou a esgotar suas reservas de hackers”, explica Leslie. “O que identificamos é que o volume geral de atividades, particularmente em fóruns cibercriminosos russos, mercados e canais de mídia social, diminuiu drasticamente em ondas. Essas ondas ocorrendo imediatamente antes e depois do início da guerra, durante ondas de mobilização e coincidindo com Russos deixando o país.”
O reordenamento de tantas vidas levou a “um pouco mais de descentralização, tanto geograficamente quanto em termos de grupos hegemônicos e fontes de atividade”, diz Leslie.
Os cibercriminosos estão lutando entre si
Os cibercriminosos vêm de todos os cantos do mundo, mas não mais do que na Rússia e na Europa Oriental. Muitos dos grandes ataques cibernéticos da história vieram de criminosos na Rússia e na Ucrânia . Os APTs russos tornaram-se famosos por seus ataques contra a Ucrânia , mas isso representa uma mudança: os cibercriminosos russos têm historicamente trabalhado de mãos dadas com seus camaradas do outro lado da fronteira.
Essa atitude kumbaya foi anulada em 24 de fevereiro de 2022, quando a Rússia invadiu a Ucrânia e os de ambos os lados foram inspirados a jurar lealdade. Mais notoriamente, o grupo Conti apoiou totalmente o regime de Putin, depois se retratou e depois se retratou pela metade de sua retratação. Esse apoio à invasão talvez tenha sido acompanhado, sem coincidência, por um vazamento gigantesco do código-fonte Conti , derrubando um lento desaparecimento da gangue de ransomware mais proeminente da Rússia.
“Não acreditamos que a dissolução de Conti tenha sido resultado direto dos vazamentos”, escreveram os autores, “mas sim que os vazamentos catalisaram a dissolução de um grupo de ameaças já fragmentado”.
Muito além de apenas Conti, os elementos do cibercrime que antes trabalhavam juntos se dividiram por causa de diferenças políticas, de acordo com a Recorded Future. Os autores escreveram que “a chamada ‘irmandade’ de agentes de ameaças de língua russa localizados na CEI [ Comunidade de Estados Independentes ] foi prejudicada por vazamentos internos e fragmentação de grupos, devido a declarações de lealdade ao estado-nação tanto em apoio a e se opõe à guerra da Rússia contra a Ucrânia.”
Todo o desenraizamento e luta causou fraturas na própria estrutura do submundo do crime cibernético, concluíram os pesquisadores.
“Os mercados da Dark Web em língua russa sofreram um grande sucesso”, afirma Leslie. “Esses mercados também se fragmentaram e se tornaram mais difusos”, uma tendência agravada pela apreensão do fórum de crimes cibernéticos nº 1 do mundo, Hydra .
Ele acrescenta: “Especulamos que o epicentro do crime cibernético pode mudar para fóruns, lojas e mercados da Dark Web de língua inglesa no próximo ano”.
FONTE: DARK READING