A Armênia mantém desde 28 de junho, em um centro de detenção, um turista russo chamado Aleksandr Ermakov, atendendo a um pedido de extradição dos Estados Unidos que mira um suspeito ligado ao ransomware REvil.
A esposa dele, Maria Yurova, afirmou à REN TV que agentes da fronteira o retiraram da sala de embarque no aeroporto Zvartnots, em Erevan, mostraram um telefone com uma foto dele retirada de sua página no VKontakte e o levaram para uma sala lateral.
Os advogados dizem que Washington prendeu a pessoa errada.
O Ermakov que os Estados Unidos querem é Aleksandr Gennadievich Ermakov, alvo de sanções da Austrália, dos EUA e do Reino Unido em janeiro de 2024 por roubar 9,7 milhões de registros da Medibank Private, uma das maiores seguradoras privadas de saúde da Austrália, e divulgar parte desses dados na dark web.
Segundo a TASS e documentos do caso que dois veículos russos dizem ter consultado, ele também cumpre uma pena de dois anos na Rússia, que o impede de deixar o país.
Já o homem preso na Armênia, dizem os advogados, é Aleksandr Yuryevich Ermakov, de Omsk, ex-advogado do sistema prisional que não fala inglês.
Ermakov é acusado de participar de ataques do Sodinokibi/REvil entre abril de 2019 e 12 de julho de 2021, com mais de 1.000 vítimas entre empresas privadas, forças de segurança, órgãos públicos, escolas e hospitais, inclusive no Distrito Norte do Texas.
Essa informação consta do documento de acusação dos EUA, que a RIA Novosti afirma ter em mãos.
O aviso da Interpol, baseado nesse material e que a Izvestia diz possuir, vai além: aponta um dos administradores da plataforma, com lucro superior a US$ 13,7 milhões.
O Channel Five data o mandado do tribunal federal desse distrito em 26 de junho, dois dias antes da prisão.
A Medibank foi invadida em outubro de 2022, 15 meses depois do período citado, e os EUA nunca anunciaram uma acusação contra Ermakov por esse episódio.
A designação do Departamento do Tesouro o colocava na periferia do REvil, como um ator “acreditado estar ligado” ao grupo.
Já o aviso o coloca no centro da operação.
Esse tribunal já tratou de casos do REvil antes: em 2021, o Departamento de Justiça acusou Yevgeniy Polyanin ali por ataques Sodinokibi/REvil a empresas e entidades governamentais do Texas em ou por volta de 16 de agosto de 2019.
Passaportes russos trazem um patronímico, e é esse elemento que distingue um Aleksandr Ermakov de outro.
A lista consolidada da Austrália inclui isso: Aleksandr Gennadievich Ermakov, nascido em 16 de maio de 1990.
O registro do Reino Unido também traz essa informação.
O da OFAC, não.
O registro SDN o descreve assim: ERMAKOV, Aleksandr, Moscou, data de nascimento 16 de maio de 1990, masculino, um endereço no Yandex, quatro identificadores, blade_runner, GistaveDore, GustaveDore e JimJones.
Nome e sobrenome, sem nada entre eles.
O conteúdo exato do aviso da Interpol não é público.
Dylan Rajavi, um dos advogados do detido, disse à Izvestia que a tese da defesa é de que a documentação dos EUA trazia apenas nome e sobrenome, e que uma checagem automatizada fez o resto.
Ele também afirmou que há formas padronizadas de confirmar a identidade de uma pessoa, como impressões digitais ou dados completos do passaporte, e que nenhum desses elementos foi apresentado.
“Só existe um mandado de prisão”, disse ele.
Essa é a versão da defesa, não uma conclusão.
As autoridades armênias não se pronunciaram, o Departamento de Justiça dos EUA não anunciou acusações e nenhum dos veículos russos que afirma ter os documentos explica como os obteve.
Também não são tantos veículos quanto parecem: Izvestia, REN TV e Channel Five pertencem ao National Media Group, e a redação da Izvestia tem abastecido os outros dois com notícias desde 2017.
O homem segue detido por uma ordem de retenção de 30 dias da Interpol, enquanto Moscou pede a Yerevan acesso consular.
### De onde veio o nome
A diretoria de sinais e a polícia federal da Austrália passaram 18 meses na Operação Aquila antes de identificá-lo.
E a ligação entre o Ermakov sancionado e o SugarLocker não passa pela mídia estatal russa.
Depois que a Austrália divulgou os apelidos, a Intel 471 revisitou anos de dados de fóruns coletados.
SHTAZI e shtaziIT estavam entre os nomes usados por Ermakov, segundo o relatório, e seu alias JimJones havia passado 2019 e 2020 no fórum Exploit oferecendo desenvolvimento de malware e um estúdio de desenvolvimento chamado Shtazi-IT.
Um mês depois, a polícia russa informou ter desarticulado a equipe de ransomware SugarLocker que operava por trás da Shtazi-IT, com @GustaveDore no campo de contato de seus anúncios de emprego para desenvolvedor.
Um fornecedor dos EUA e o Ministério do Interior da Rússia chegaram ao mesmo endereço comercial por caminhos opostos.
Em outubro de 2024, um tribunal de Moscou condenou Ermakov a dois anos de restrição de liberdade com base no artigo 273, parágrafo 2, da lei russa sobre malware, por coescrever o SugarLocker e vendê-lo a um comprador com um painel de controle via Tor.
Documentos do caso vistos pela Izvestia dizem que ele confessou e que o processo tramitou pelo procedimento sumário da Rússia.
“Ermakov foi condenado a dois anos de restrição de liberdade”, disse à TASS, na quinta-feira, uma fonte das forças de segurança.
O prazo ainda não terminou.
Agora, o tribunal da Armênia ainda precisa decidir se envia o outro Ermakov para Dallas.
O irmão dele disse à RIA na sexta-feira que a família espera que isso aconteça.
Entre sanções de 2,5 anos, uma operação de inteligência de 18 meses e um novo mandado dos EUA, apenas um Aleksandr Ermakov acabou preso, e os advogados dizem que é a pessoa errada.
O nome do Ermakov citado no mandado está em casa, apresentando-se uma vez por mês ao serviço penitenciário onde o homem da cela passou a carreira trabalhando.
Publicidade
Vibecoding cria 10x mais sistemas, 20x mais vulneráveis. E quem ganha com isso é a galera do hacking ético e pentest. Quer ser pago para invadir sistemas? Então você tem que aprender com a Solyd que são os melhores do Brasil. Saiba mais...