Gangues de criminosos costumam usar vários tipos de ransomware e pular de um RaaS (Ransomware-as-a-Service) para outro, em busca de melhores oportunidades.
Um relatório publicado este mês pela empresa de investigações de blockchain Chainalysis afirma que grupos de cibercrime envolvidos em ataques de ransomware não operam em bolhas isoladas; pelo contrário: frequentemente trocam de fornecedores (em um modelo RaaS – Ransomware-as-a-Service) em busca de lucros mais altos.
O relatório também analisou como fundos de Bitcoin foram transferidos das vítimas para grupos criminosos e como esse dinheiro foi dividido entre as diferentes partes envolvidas no ataque de e, eventualmente, lavado, para não levantar suspeitas.
Mas, para entender essa dinâmica, é necessária uma breve introdução ao cenário atual do ransomware, que muito se assemelha ao funcionamento da maioria das empresas modernas.
[sc name="featured"]
A “cadeia de suprimentos” do ransomware
Existem programadores que criam e alugam ransomwares por meio de serviços chamados RaaS – ou Ransomware-as-a-Service – de forma semelhante a como a maioria dos softwares é fornecida hoje.
Isto é, alguns operadores RaaS alugam seu ransomware para qualquer pessoa que demonstre interesse em adquiri-lo, enquanto outros preferem trabalhar com pequenos grupos de clientes verificados, que geralmente são chamados de "afiliados".
Os afiliados são os que geralmente espalham ameaças por e-mail ou orquestram invasões em redes corporativas e governamentais, posteriormente infectando sistemas e criptografando dados com o ransomware alugado.
Em alguns casos, os afiliados também são grupos multifacetados. Alguns se especializam em violar o perímetro de rede de uma empresa e são chamados de fornecedores de acesso inicial, enquanto outros são especializados em expandir o acesso inicial dentro de redes hackeadas para maximizar os danos do ransomware.
Em suma, o panorama do ransomware evoluiu de uns anos para cá, virando um amálgama de grupos criminosos, cada qual fornecendo seu próprio serviço altamente especializado ao outro, geralmente em diferentes provedores de RaaS.
[sc name="feature_video_fev_2021"]
Transações de Bitcoin revelam que grupos criminosos costumam colaborar entre si
O relatório da Chainalysis confirma essas teorias informais com provas criptográficas indiscutíveis, deixadas pelas transações de Bitcoin que ocorreram entre alguns desses grupos.
Por exemplo, com base no gráfico abaixo, a Chainalysis disse ter encontrado evidências que sugerem que um afiliado do agora extinto Maze RaaS também estava envolvido com o SunCrypt RaaS.
"Vemos que o afiliado do Maze também enviou fundos – cerca de 9,55 Bitcoin no valor de mais de US $ 90.000 – por meio de uma carteira intermediária para um endereço denominado 'SunCrypt admin suspeito', que identificamos como parte de uma carteira que consolidou fundos relacionados a alguns ataques SunCrypt ", dizem os pesquisadores Chainalysis.
"Isso sugere que o afiliado do Maze também é afiliado do SunCrypt, ou possivelmente envolvido com o SunCrypt de outra maneira."
Descobertas semelhantes também mostram uma conexão entre as operações Egregor e DoppelPaymer.
"Neste caso, vemos que uma carteira vinculada à Egregor enviou cerca de 78,9 BTC no valor de aproximadamente US $ 850.000 para uma carteira suspeita de um admin Doppelpaymer", disseram os pesquisadores.
"Embora não possamos saber com certeza, acreditamos que este é outro exemplo de sobreposição de afiliados. Nossa hipótese é que a carteira rotulada ‘Egregor’ é uma afiliada de ambas as cepas que enviam fundos para os administradores Doppelpaymer."
E por último, mas não menos importante, os pesquisadores da Chainalysis também encontraram evidências de que os operadores de Maze e Egregor usaram o mesmo serviço de lavagem de dinheiro e de corretagem de balcão para converter fundos roubados em moeda fiduciária.
[sc name="newsletter"]
Intersecções podem ser um bom sinal
Embora possamos, com razão, presumir essas conexões e intersecções como um sinal de parcerias bem-sucedidas entre grupos de criminosos, ou seja, de ameaças crescentes e complexas, a Chainalysis, por outro lado, acredita que essa interconexão é, na verdade, um bom sinal, em termos de aplicação da lei.
"A evidência sugere que o mundo do ransomware na verdade é menor do que se imagina, dado o número de cepas em uma única operação", diz a Chainalysis.
Isso, em teoria, deve tornar a retaliação e interrupção de ataques de ransomware uma tarefa muito mais fácil, já que uma defesa cuidadosamente planejada pode afetar vários grupos e provedores de RaaS ao mesmo tempo.
E, de acordo com a Chainalysis, esses pontos fracos podem ser os serviços de lavagem de dinheiro que os operadores de RaaS e seus afiliados costumam usar para converter os fundos roubados em moeda legítima.
Ao recorrer a caminhos legítimos para converter fundos e alcançar lucratividade no mundo real, a Chainalysis acredita que as operações RaaS terão dificuldade de operar quando não puderem lucrar com seu trabalho. Como isso se desdobrará, porém, ainda é um mistério.
Mantenha seus dados seguros. Consulte os especialistas da Compugraf e conheça nossas soluções de segurança!
