Tecnologia

Como funcionava o esquema que roubou US$ 100 mi em cripto de 1, 5 mil empresas

Liderado pelo grupo Ransomware Hive, trata-se de uma das maiores organizações do mundo que atua no sequestro de dados e computadores

(FILES) In this file photo taken on August 04, 2020, Prince, a member of the hacking group Red Hacker Alliance who refused to give his real name, uses his computer at their office in Dongguan, China's southern Guangdong province. - As the number of online devices surges and super-fast 5G connections roll out, record numbers of companies are offering up to seven-figure rewards to ethical hackers who can successfully attack their cybersecurity systems. (Photo by NICOLAS ASFOURI / AFP) (Photo by NICOLAS ASFOURI/AFP via Getty Images) (ICOLAS ASFOURI/Getty Images)

(FILES) In this file photo taken on August 04, 2020, Prince, a member of the hacking group Red Hacker Alliance who refused to give his real name, uses his computer at their office in Dongguan, China's southern Guangdong province. - As the number of online devices surges and super-fast 5G connections roll out, record numbers of companies are offering up to seven-figure rewards to ethical hackers who can successfully attack their cybersecurity systems. (Photo by NICOLAS ASFOURI / AFP) (Photo by NICOLAS ASFOURI/AFP via Getty Images) (ICOLAS ASFOURI/Getty Images)

A

AFP

Publicado em 27 de janeiro de 2023 às 16h09.

Última atualização em 27 de janeiro de 2023 às 18h31.

O desmantelamento, na quinta-feira, 26, da rede de ataque de ransomware Hive, que extorquiu cerca de US$ 100 milhões de mais de 1,5 mil vítimas em todo o mundo, deixa em evidência como a pirataria se tornou uma indústria especializada ultraeficiente, que pode permitir que qualquer um se torne um ativista cibernético.

A operação foi realizada em coordenação com as forças policiais de Estados Unidos, Alemanha e Holanda, assim como pela Europol, afirmou o diretor da Polícia Federal americana (FBI), Christopher Wray.

Modelo de negócios moderno

A Hive operava segundo uma modalidade que especialistas em cibersegurança chamam de "ransomware como serviço", ou RaaS, que consiste em que uma empresa oferece seu software e métodos a outros para extorquir um alvo.

O modelo é fundamental para o ecossistema de ransomware mais amplo, no qual os atores se especializam em uma habilidade ou função, maximizando sua eficiência.

Segundo Ariel Ropek, diretor de inteligência de ameaças cibernéticas da companhia de cibersegurança Avertium, esta estrutura possibilita que, com uma fluidez informática mínima, os delinquentes entrem no jogo do ransomware pagando a outros por sua experiência.

"Há muitos deles", disse Ropek sobre as operações de RaaS. "É realmente um modelo de negócios nestes dias", acrescentou.

Como funciona

Na chamada "darkweb", a parte da internet à qual os navegadores convencionais não têm acesso, os provedores de serviços de ransomware e suporte apresentam seus produtos abertamente.

Em uma ponta estão os intermediários de acesso inicial, que se especializam em acessar os sistemas informáticos corporativos ou institucionais, e depois vendem esse acesso ao hacker ou operador do ransomware.

Mas o operador depende de desenvolvedores de RaaS como a Hive, que têm as habilidades de programação para criar o malware necessário para executar a operação e evitar medidas de contra-segurança.

No geral, seus programas — uma vez inseridos pelo operador do ransomware nos sistemas de TI do alvo — são manipulados para congelar, mediante codificação, os arquivos e os dados do alvo.

Os desenvolvedores de RaaS como a Hive oferecem um serviço completo aos operadores em troca de boa parte do resgate pago, disse Ropek.

"Seu objetivo é fazer com que a operação de ransomware seja a mais completa possível", disse.

Gentil, mas firme

Quando o ransomware é instalado e ativado, o alvo recebe uma mensagem que lhe informa como agir e quanto pagar para decodificar seus dados.

Esse resgate pode oscilar entre milhares e milhões de dólares, dependendo da solidez financeira do alvo.

Inevitavelmente, o alvo tenta negociar no portal, mas frequentemente não chega muito longe.

A empresa de cibersegurança Menlo Security publicou no ano passado a conversa entre um alvo e o "departamento de vendas" da Hive, que ocorreu no portal especial para vítimas.

Nela, o operador do Hive se ofereceu de forma gentil e profissional para provar que a decodificação funcionaria com um arquivo de testes.

Mas quando o alvo ofereceu uma parte dos US$ 200 mil exigidos, a Hive se mostrou firme e insistiu em que podia pagar o total.

Por fim, o agente da Hive cedeu e ofereceu um desconto significativo. "O preço é US$ 50 mil. É definitivo", escreveu.

Se uma organização alvo se negar a pagar, os desenvolvedores de RaaS têm um respaldo: ameaçam publicar online ou vender os arquivos confidenciais hackeados.

A Hive mantém um site na web em separado, o HiveLeaks, para publicar os dados.

Segundo Ropek, por trás do negócio há operações especializadas para coletar o dinheiro, assegurando-se de que os participantes obtenham parte do resgate.

Impacto modesto

A ação de quinta-feira contra a Hive teve apenas impacto modesto na indústria RaaS.

Há muitos outros especialistas em ransomware, similares à Hive, que ainda estão ativos.

A maior ameaça atual é o LockBit, que atacou o Royal Mail, o serviço postal do Reino Unido, no começo de janeiro e um hospital infantil canadense em dezembro.

Em novembro, o Departamento de Justiça dos Estados Unidos informou que o LockBit havia obtido dezenas de milhões de dólares em resgates de mil vítimas.

E não é difícil para os operadores da Hive começar de novo. "É um processo relativamente simples de configurar novos servidores, gerar novas chaves de codificação. No geral, há algum tipo de mudança de marca", disse Ropek.

Acompanhe tudo sobre:crimes-digitaisHackers

Mais de Tecnologia

China acelera integração entre 5G e internet industrial com projeto pioneiro

Vale a pena comprar celular na Black Friday?

A densidade de talentos define uma empresa de sucesso; as lições da VP da Sequoia Capital

Na Finlândia, o medo da guerra criou um cenário prospero para startups de defesa