Uma vitória rara no jogo de ransomware de gato e rato

Uma equipe de detetives de segurança privada, em seu primeiro detalhamento público de seus esforços, discute como eles usaram os erros dos cibercriminosos para ajudar as vítimas a recuperar seus dados em silêncio.

Nicole Perlroth, do New York Times

Em um ano repleto de ataques de ransomware, quando os cibercriminosos mantiveram dados de departamentos de polícia, cadeias de supermercados e farmácias, hospitais, dutos e estações de tratamento de água como reféns com códigos de computador, foi uma vitória, rara na escala de seu sucesso.

Durante meses, uma equipe de especialistas em segurança correu para ajudar as vítimas de um grupo de ransomware de alto perfil a recuperar silenciosamente seus dados, sem pagar um centavo a seus agressores digitais.

Tudo começou no final do verão, depois que os cibercriminosos por trás do ataque de ransomware Colonial Pipeline, conhecido como DarkSide, surgiram com um novo nome, BlackMatter. Logo depois, os cibercriminosos cometeram um erro flagrante que provavelmente lhes custou dezenas, senão centenas, de milhões de dólares.

Os criminosos de ransomware criptografam os dados da vítima e exigem um pagamento de resgate, às vezes milhões de dólares, para devolver o acesso. Mas quando a BlackMatter cometeu um erro crítico em uma atualização de seu código, os pesquisadores da Emsisoft, uma empresa de segurança cibernética da Nova Zelândia, perceberam que poderiam explorar o erro, descriptografar arquivos e devolver o acesso aos legítimos proprietários dos dados.

A Emsisoft se esforçou para rastrear dezenas de vítimas nos Estados Unidos, Grã-Bretanha e Europa para que pudesse ajudá-las a desbloquear secretamente seus dados. No processo, a empresa manteve milhões de dólares em criptomoedas fora dos cofres dos cibercriminosos.

Foi uma vitória de curta duração no jogo de gato e rato do ransomware, que deve custar às organizações US $ 20 bilhões em perdas este ano, de acordo com um relatório da empresa de pesquisas Cybersecurity Ventures. Era tão incomum que nem mesmo as vítimas cujos dados foram salvos pelo esforço puderam acreditar. Muitos pensaram que a Emsisoft estava executando um golpe.

Funcionários da Emsisoft descreveram sua operação, que não foi relatada antes, em uma série de entrevistas para o The New York Times.

“No início, houve muito choque e descrença”, disse Fabian Wosar, diretor de tecnologia da Emsisoft, na semana passada. “Imagine que você tem um problema. Você acha que não pode ser corrigido. Todo mundo diz que é impossível consertar. Sua paranóia está em alta. E alguém aparece na sua porta e diz: 'Ei, a propósito, posso ajudá-lo.'”

Para acalmar as preocupações das vítimas, os pesquisadores da Emsisoft pediram a seus contatos em empresas de segurança cibernética e agências governamentais em todo o mundo que as garantissem.

Embora a Emsisoft não tenha identificado as vítimas, disse que elas incluíram fabricantes importantes, empresas de transporte e fornecedores de alimentos em toda a Europa continental, Grã-Bretanha e Estados Unidos.

A linha do tempo do esforço da Emsisoft se sobrepõe aos ataques de ransomware da BlackMatter no mês passado contra duas organizações agrícolas americanas: NEW Cooperative, uma cooperativa de grãos de Iowa, e Crystal Valley, uma cooperativa de abastecimento agrícola de Minnesota. Ambas as cooperativas se recuperaram rapidamente, sugerindo que a Emsisoft pode ter ajudado. Nenhuma das empresas retornou pedidos de comentário.

Eric Goldstein, diretor-assistente executivo de segurança cibernética da Agência federal de segurança cibernética e infraestrutura, considerou o esforço um modelo de colaboração pública e privada. A agência está tentando desenvolver um plano abrangente de “todo o país” para enfrentar as ameaças cibernéticas, especialmente para a “infraestrutura crítica”, a maior parte da qual pertence ao setor privado.

A CISA criou recentemente o Joint Cyber Defense Collaborative, que reúne agências governamentais com empresas de tecnologia como Microsoft e Amazon, telecomunicações como AT&T e Verizon, e empresas de segurança cibernética como CrowdStrike e Palo Alto Networks para lidar com ameaças como ransomware.

A operação Emsisoft é uma das várias vitórias recentes, algumas superficiais, sobre ransomware. Em junho, o Departamento de Justiça anunciou que recuperou US$ 2,3 milhões dos US$ 4,4 milhões em criptomoedas que a Colonial Pipeline pagou à BlackMatter. Mais recentemente, uma operação dirigida por vários governos colocou REvil, uma grande empresa russa de ransomware, do estado de offline. O esforço multigovernamental foi relatado anteriormente pela Reuters.

Esse esforço se seguiu a várias vitórias menores contra o REvil no verão passado. O grupo, que é responsável por milhares de ataques de ransomware, se viu na mira do governo depois que ele realizou um ataque de alto perfil contra a JBS, uma das maiores operadoras de frigoríficos do mundo, e a Kaseya, uma empresa de software de Miami. O grupo usou o acesso de alto nível da Kaseya a seus clientes para manter centenas deles como reféns durante o feriado de 4 de julho passado.

Uma semana depois, os sites do REvil foram às escuras, levando a especulações de que os governos podem ter desempenhado um papel. Uma semana depois disso, a Kaseya anunciou que um misterioso “terceiro” lhe dera a chave para desbloquear os dados criptografados de seus clientes. Na verdade, o FBI confirmou mais tarde que havia garantido uma chave, mas demorou a entregá-la aos clientes da Kaseya enquanto coordenava com outras agências para derrubar o grupo. Mas antes que pudesse agir, REvil saiu do ar por conta própria.

REvil reapareceu em setembro, antes de desaparecer novamente na semana passada.

Mas a história recente sugere que os operadores do REvil podem simplesmente ressurgir com um novo nome. Enquanto os grupos de ransomware gozam de imunidade na Rússia e em outras nações, o ransomware continua a atormentar as empresas e organizações americanas. A última vítima parece ter sido a polícia em Hagerstown, Maryland. Na sexta-feira, os mesmos cibercriminosos que sequestraram e vazaram dados confidenciais do Departamento de Polícia de Washington, DC em abril, alegaram ter violado o site da polícia de Hagerstown e roubado o credenciais de login.

Contatada na sexta-feira, a polícia de Hagerstown disse não acreditar que os dados dos funcionários tenham sido roubados, mas estavam monitorando a situação de perto e mudaram as senhas e tomaram outras medidas de mitigação.

Autoridades americanas de cibersegurança admitem que, além de alguns breves triunfos, não houve nenhuma mudança material nos ciberataques russos desde a primeira cúpula do presidente Biden com o presidente da Rússia, Vladimir V. Putin, em junho. Biden alertou Putin que os ataques aos 16 setores críticos de infraestrutura da América - como os fornecedores de alimentos atingidos no mês passado - poderiam justificar retaliação.

Mas no mês passado, quando o BlackMatter atingiu a NEW Cooperative, os cibercriminosos zombaram da ideia de que o coletivo de grãos era considerado uma infraestrutura crítica, postando sarcasticamente que “todos incorrerão em perdas” em bate-papos monitorados pela Recorded Future, uma empresa de segurança cibernética.

O barulho em torno do ataque da NOVA Cooperativa criou desafios adicionais para a Emsisoft, disse a empresa. A Emsisoft estava encontrando vítimas do BlackMatter por meio de postagens em uma plataforma de propriedade do Google, o VirusTotal, que é uma espécie de mecanismo de busca de malware.

Essas postagens ajudaram a vincular as equipes da Emsisoft à plataforma de bate-papo que a BlackMatter usou para negociar pagamentos de resgate com suas vítimas. A Emsisoft monitorou os bate-papos para ver se os cibercriminosos ou vítimas divulgaram o nome de sua organização e, em seguida, usou essas informações para entrar em contato com as vítimas.

Mas depois que o ataque da NEW Cooperative chegou às manchetes, visitantes inesperados começaram a deixar insultos nas salas de bate-papo onde a BlackMatter negociava os pagamentos. Quando a BlackMatter ameaçou vazar os dados online da NEW Cooperative por violar suas “diretrizes de recuperação de dados”, alguém respondeu com um insulto desagradável dirigido à mãe de um criminoso BlackMatter.

Um representante da NEW Cooperative deixou claro no bate-papo que o comentário não veio deles, mas de "pessoas aleatórias da Internet". A troca fez com que a BlackMatter fechasse o acesso aos bate-papos online e começasse a examinar qualquer pessoa que entrasse. No processo, a Emsisoft perdeu uma forma fundamental de chegar às vítimas.

A Emsisoft sabia que não poderia publicar sua habilidade secreta sem avisar a BlackMatter. Mas a empresa ainda conseguiu alcançar várias vítimas do BlackMatter cujos dados foram postados online. (Para aumentar a pressão, grupos de ransomware agora publicam as informações da vítima online quando ela se recusa a pagar.) A Emsisoft também trabalhou em estreita colaboração com a CISA e outras agências para alcançar o máximo de vítimas possível.

“O motivo pelo qual os operadores de ransomware se safaram de tantos crimes é que, até recentemente, havia muito pouca cooperação e comunicação em todos os lugares”, disse Brett Callow, analista de ameaças da Emsisoft. “Isso mostra que a cooperação do setor público/privado pode prejudicar significativamente seus lucros”.

Emsisoft sabia que o tempo estava acabando. Inevitavelmente, BlackMatter começaria a se perguntar por que tantas vítimas pararam de pagar seus resgates, ou por que muitas nem se deram ao trabalho de responder.

Finalmente, no mês passado, a BlackMatter percebeu o erro. Estava de volta à prancheta para pesquisadores da Emsisoft e outras empresas.

“Não somos mais capazes de ajudar as vítimas, mas tivemos um longo prazo”, disse Wosar.

 

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado

newsletter buton