Uma nova gangue de ransomware que promete juntar o que há de melhor entre as extintas DarkSide e REvil e a recentemente prolífica LockBit surgiu na semana passada
Por Carlos Cabral
Nomeada como BlackMatter, seus operadores criaram contas nos fóruns do underground mais ativos da atualidade, postaram um chamado de recrutamento a afiliados e depositaram uma boa quantidade de dinheiro na conta de um desses fóruns para declarar aberta a temporada de negociação.
Diferentemente do que muitos pensam, os fóruns do underground usados pelo cibercrime não são somente um canal para a troca de ideias como no passado. Na verdade, eles operam como marketplaces em que o usuário deposita dinheiro no fórum como quem compra fichas em um cassino e o administrador do fórum atribui a si uma fração desse dinheiro, muitas vezes por comissão em cada transação.
Ao fazer um depósito na conta, essa informação é exibida em seu avatar, de modo que depositar uma bolada é uma forma de ostentar dinheiro, como quem acumula um monte de fichas no cassino, mas também pode ser uma maneira de demonstrar que não se está ali para brincadeira. Os operadores do BlackMatter depositaram 4 bitcoins, aproximadamente 800 mil reais, de largada.
A postagem de anúncios estritamente ligados à atividade de ransomware foi proibida pelos administradores da maioria dos fóruns desde maio, após o ataque contra Colonial Pipeline ter causado o desabastecimento de combustível em boa parte dos Estados Unidos, o que consequentemente chamou muita atenção. Na ocasião, os websites do ransomware DarkSide, responsável pelo incidente, saíram do ar (ou foram tirados, não sabemos) o que foi um choque de realidade para boa parte do cibercrime.
No entanto, o anúncio do BlackMatter usou de um discurso um pouco diferente, dando ênfase ao fato de que eles buscam pessoas interessadas em vender acesso inicial às redes das empresas. Para quem fizer a ginástica interpretativa correta, isso não se classificaria como uma violação das regras dos fóruns, pois não se fala diretamente em ransomware.
A postagem possui requisitos bem claros: eles pagarão até cem mil dólares por acesso exclusivo a empresas nos Estados Unidos, Reino Unido, Canadá e Austrália. Os alvos não podem ser organizações governamentais ou de saúde e precisam ter entre quinhentos e quinze mil hosts além de receita acima de cem milhões de dólares ao ano.
Em uma entrevista com os operadores do ransomware, publicada pelo The Record nesta segunda (2), estes requisitos são detalhados e somados à determinação de que são os operadores do ransomware que escolherão os alvos, pois há uma preocupação bastante clara em equilibrar o lucro com a cautela.
Anúncio do BlackMatter em um fórum. Imagem: The Record.
É claro que, assim que a notícia de que havia um novo player no cenário do ransomware se espalhou, muita gente passou a especular se o BlackMatter seria, na verdade um rebranding do Darkside ou do REvil por conta do tipo de alvo de interesse e da demonstração de um suposto profissionalismo.
Na entrevista, as pessoas por trás do ransomware procuram descolar sua imagem não só daquilo que foi o DarkSide e o REvil, mas também do LockBit.
Eles apontam erros e acertos das três gangues e prometem fazer melhor não só no ransomware, mas também na operação.
Simplesmente não é possível determinar se uma operação tem relação com outra, sobretudo quando consideramos o fato de que essas gangues atuam muitas vezes como um cartel, com gente negociando serviços de forma bastante dinâmica.
Para os que estão focados em se defender, faz mais sentido direcionar os esforços em evitar se tornar a fruta no ponto mais baixo da árvore. Os caminhos para isso são bem documentados e passam por fazer o essencial em segurança, como gerir vulnerabilidades e configurações.
O que o vazamento do Marriott nos ensina sobre ataques persistentes. Por Carlos Cabral da Tempest
Quatro perspectivas para entender o caso Cambridge Analytica & Facebook
Vazamento de lista de pessoas de interesse de clientes da NSO expõe indústria da insegurança