Durante muito tempo, foram considerados quase impossíveis de apanhar: Hackers que extorquem dinheiro às suas vítimas através de resgates. Os sucessos de investigação da polícia contra a REvil mostram agora que a luta contra os resgates não é tão desesperada como parece.
Na verdade, os “afiliados” estão claramente definidos na economia líquida. Os “afiliados”, por vezes também chamados “parceiros”, são publicitários que dirigem os seus leitores ou visitantes do site aos sites dos anunciantes através de “links de afiliação” e depois recebem uma comissão quando os leitores se tornam clientes.
Os afiliados são parceiros publicitários gratuitos que não ganham dinheiro apenas com a difusão de anúncios, mas apenas através de comissões. A rentabilidade dos programas de afiliação varia muito. Algumas são excelentes oportunidades, especialmente para grandes websites, de ganhar dinheiro com o seu trabalho; outras, por outro lado, apenas rendem alguns cêntimos, na melhor das hipóteses.
Entre os programas de afiliação mais lucrativos que se encontram actualmente, encontram-se os de operadores de resgate como a REvil. Há já vários anos que os autores de resgates não se preocupam em colocar o malware noutros sistemas, mas confiam nos afiliados para o fazer.
Estes filiados recebem o software dos hackers. Eles infiltram-se nos sistemas da vítima – por vezes eles próprios através de sofisticadas tecnologias de hacking, por vezes através de e-mails de spam simples – e carregam o software de resgate. Se a vítima paga então, recebe uma parte dos lucros, normalmente 70-80 por cento. Os autores do resgate, entretanto, podem colocar os pés para cima e ver o dinheiro rolar em.
Carteira de milhões de dólares confiscada pela afiliada
Recentemente, o FBI dos EUA foi agora atrás destes filiados. Nomeadamente, os investigadores seguiram o rasto de um cidadão russo, Aleksandr Sikerin, que reside em São Petersburgo
FBI Seizes Cryptocurrency Worth $2.3 Million From REvil Ransomware Group Affiliate | #malware | #ransomware#earegun
US law enforcement seized 39.9 Bitcoins from an Exodus wallet, worth approximately $2.3 million (roughly Rs. 17.3 crore) from a Russian citizen suspected of … pic.twitter.com/yyjGMQ4Y85
— Estiuck Al Regun (@earegun) December 6, 2021
O FBI acusa o Sikerin de obter acesso não autorizado a outros computadores, instalando aí o REvil ransomware e depois lavando dinheiro. Com base nesta acusação, os funcionários confiscaram uma Carteira de Êxodo da Sikerin que continha 39,9 Bitcoins, ou cerca de 2,3 milhões de dólares.
O Sikerin, de acordo com a acusação, é parcialmente responsável por ataques de resgate que resultaram em pagamentos de resgate de cerca de 200 milhões de dólares. Em parte, estes pagamentos de resgate podem ser ligados à carteira do Sikerin, que está agora sob controlo do FBI.
A forma exacta como o FBI conseguiu tomar posse de “uma carteira de Êxodo” ainda não é clara. O Exodus é uma carteira para computadores de secretária e dispositivos móveis. Tem sido ou está sob crítica porque nem todas as partes do código são de código aberto, mas é bastante improvável que a carteira contenha uma porta traseira tão extensa que o governo dos EUA possa confiscar dinheiro com o premir de um botão. O mais provável é o acesso através do confisco de dispositivos ou de um hack.
Uma greve internacional contra REvil
A carteira pode também ter feito parte de uma apreensão mais ampla há um mês atrás. No início de Novembro, o Departamento de Justiça dos EUA tinha acusado um ucraniano e um russo de estarem por detrás de um dos piores ataques de resgate aos americanos.
Especificamente, foi o ataque ao fornecedor de software Kaseya em Julho pelo REvil ransomware. Como o seu software está em numerosos sistemas, o ataque deu a volta ao mundo. Milhares de empresas foram afectadas, incluindo, por exemplo, todos os koops na Suécia.
Ukrainian Yaroslav Vasinsky foi detido na Polónia em Outubro desse ano. Ele e o seu colega russo Yevgeny Polynin são acusados de invadir os computadores das vítimas e instalar o REvil ransomware. Ao contrário de Vasinskij, a Polynin ainda está em liberdade.
No decurso destas investigações, as autoridades norte-americanas confiscaram Bitcoins e Monero no valor de mais de seis milhões de dólares, que remontam ao pagamento de resgates. Para além do FBI, a Europol e outras agências policiais também estiveram envolvidas.
Segundo a Europol, mais dois arguidos foram presos na Roménia no início de Novembro por distribuição de REvil ransomware, e funcionários na Coreia do Sul confirmaram ter prendido três suspeitos. No total, os investigadores perseguiram 12 suspeitos acusados de serem responsáveis por ataques de resgates em 71 países.
Não é um crime perfeito
Durante muito tempo, o resgate era considerado um “crime perfeito” porque parecia quase impossível encontrar os perpetradores. Agora a maré parece estar a mudar lentamente. Pelo menos, os sucessos de investigação contra a REvil falam por isso.
Uma razão para isto pode ser que os hackers do resgate tenham ido longe demais. O hack de uma firma de advogados famosa já era razão suficiente para o governo dos EUA falar de “ciberterrorismo”; os ataques em curso a administrações municipais, hospitais e universidades provavelmente esgotaram a paciência das autoridades; o hack do Gasoduto Colonial, bem como a Kasey foram a gota de água que partiu as costas do camelo.
Bitcoin e a Darknet estão a forçar a aplicação da lei em todo o mundo a colaborar supranacionalmente. Já o sabemos de sucessos por vezes espectaculares contra os mercados escuros. Agora a polícia está a utilizar de forma consistente os recursos e competências que acumulou neste processo na luta contra os resgates.
Além disso, uma mudança na estratégia também parece promissora. Kimberly Goody, directora da empresa de segurança Mandiant, explicou que poderia ser mais promissor tomar medidas contra os afiliados do que contra o núcleo do bando de resgates. Isto deve-se não só ao facto de serem filiados mais próximos do local do crime – eles, não os autores do resgate hackeiam os computadores – mas são frequentemente menos cuidadosos e “as suas competências são mais solicitadas do que o software de encriptação”. Alguns filiados também trabalham para múltiplos bandos. Portanto, pode ser que não sejam tanto os criadores de software mas sim os afiliados que são os gargalos da economia do resgate.
Na verdade, parece difícil chegar aos criadores do próprio software. Os fabricantes de REvil já se retiraram no Verão após a invasão do Colonial Pipeline. Presumivelmente perceberam que uma linha tinha sido cruzada com isto.
