Como funcionava o esquema que roubou US$ 100 mi em cripto de 1, 5 mil empresas
Liderado pelo grupo Ransomware Hive, trata-se de uma das maiores organizações do mundo que atua no sequestro de dados e computadores
AFP
Publicado em 27 de janeiro de 2023 às 16h09.
Última atualização em 27 de janeiro de 2023 às 18h31.
O desmantelamento, na quinta-feira, 26, da rede de ataque de ransomware Hive, que extorquiu cerca de US$ 100 milhões de mais de 1,5 mil vítimas em todo o mundo, deixa em evidência como a pirataria se tornou uma indústria especializada ultraeficiente, que pode permitir que qualquer um se torne um ativista cibernético.
A operação foi realizada em coordenação com as forças policiais de Estados Unidos, Alemanha e Holanda, assim como pela Europol, afirmou o diretor da Polícia Federal americana (FBI), Christopher Wray.
Modelo de negócios moderno
A Hive operava segundo uma modalidade que especialistas em cibersegurança chamam de "ransomware como serviço", ou RaaS, que consiste em que uma empresa oferece seu software e métodos a outros para extorquir um alvo.
O modelo é fundamental para o ecossistema de ransomware mais amplo, no qual os atores se especializam em uma habilidade ou função, maximizando sua eficiência.
Segundo Ariel Ropek, diretor de inteligência de ameaças cibernéticas da companhia de cibersegurança Avertium, esta estrutura possibilita que, com uma fluidez informática mínima, os delinquentes entrem no jogo do ransomware pagando a outros por sua experiência.
"Há muitos deles", disse Ropek sobre as operações de RaaS. "É realmente um modelo de negócios nestes dias", acrescentou.
Como funciona
Na chamada "darkweb", a parte da internet à qual os navegadores convencionais não têm acesso, os provedores de serviços de ransomware e suporte apresentam seus produtos abertamente.
Em uma ponta estão os intermediários de acesso inicial, que se especializam em acessar os sistemas informáticos corporativos ou institucionais, e depois vendem esse acesso ao hacker ou operador do ransomware.
Mas o operador depende de desenvolvedores de RaaS como a Hive, que têm as habilidades de programação para criar o malware necessário para executar a operação e evitar medidas de contra-segurança.
No geral, seus programas — uma vez inseridos pelo operador do ransomware nos sistemas de TI do alvo — são manipulados para congelar, mediante codificação, os arquivos e os dados do alvo.
Os desenvolvedores de RaaS como a Hive oferecem um serviço completo aos operadores em troca de boa parte do resgate pago, disse Ropek.
"Seu objetivo é fazer com que a operação de ransomware seja a mais completa possível", disse.
Gentil, mas firme
Quando o ransomware é instalado e ativado, o alvo recebe uma mensagem que lhe informa como agir e quanto pagar para decodificar seus dados.
Esse resgate pode oscilar entre milhares e milhões de dólares, dependendo da solidez financeira do alvo.
Inevitavelmente, o alvo tenta negociar no portal, mas frequentemente não chega muito longe.
A empresa de cibersegurança Menlo Security publicou no ano passado a conversa entre um alvo e o "departamento de vendas" da Hive, que ocorreu no portal especial para vítimas.
Nela, o operador do Hive se ofereceu de forma gentil e profissional para provar que a decodificação funcionaria com um arquivo de testes.
Mas quando o alvo ofereceu uma parte dos US$ 200 mil exigidos, a Hive se mostrou firme e insistiu em que podia pagar o total.
Por fim, o agente da Hive cedeu e ofereceu um desconto significativo. "O preço é US$ 50 mil. É definitivo", escreveu.
Se uma organização alvo se negar a pagar, os desenvolvedores de RaaS têm um respaldo: ameaçam publicar online ou vender os arquivos confidenciais hackeados.
A Hive mantém um site na web em separado, o HiveLeaks, para publicar os dados.
Segundo Ropek, por trás do negócio há operações especializadas para coletar o dinheiro, assegurando-se de que os participantes obtenham parte do resgate.
Impacto modesto
A ação de quinta-feira contra a Hive teve apenas impacto modesto na indústria RaaS.
Há muitos outros especialistas em ransomware, similares à Hive, que ainda estão ativos.
A maior ameaça atual é o LockBit, que atacou o Royal Mail, o serviço postal do Reino Unido, no começo de janeiro e um hospital infantil canadense em dezembro.
Em novembro, o Departamento de Justiça dos Estados Unidos informou que o LockBit havia obtido dezenas de milhões de dólares em resgates de mil vítimas.
E não é difícil para os operadores da Hive começar de novo. "É um processo relativamente simples de configurar novos servidores, gerar novas chaves de codificação. No geral, há algum tipo de mudança de marca", disse Ropek.