Criador de Hive RAT e Mestre em Criptojacking de US$ 3,5 Milhões São Presos em Operação Global de Combate ao Cibercrime
16 de Abril de 2024

Duas pessoas foram presas na Austrália e nos EUA por supostamente desenvolverem e distribuírem um remote access trojan chamado Hive RAT (anteriormente Firebird).

O Departamento de Justiça dos EUA (DoJ) afirmou que o malware "permitia que os compradores do malware controlassem computadores de vítimas e lhes possibilitava acessar comunicações privadas, credenciais de login e outras informações pessoais."

Um indivíduo de 24 anos chamado Edmond Chakhmakhchyan (também conhecido como "Corruption"), de Van Nuys em Los Angeles, Califórnia, foi detido após ser flagrado vendendo uma licença do Hive RAT para um funcionário disfarçado de uma agência de aplicação da lei.

Ele foi acusado de uma contagem de conspiração e uma contagem de anunciar um dispositivo como um dispositivo de interceptação, cada uma delas com uma pena de cinco anos de prisão.

Chakhmakhchyan declarou-se inocente e foi ordenado a ser julgado em 4 de junho de 2024.

Documentos do tribunal alegam uma parceria entre o criador do malware e o réu, sob a qual este último publicaria anúncios do malware em um fórum de cibercrime chamado Hack Forums, aceitaria pagamentos em criptomoeda dos clientes e ofereceria suporte ao produto.

O Hive RAT vem com capacidades como terminar programas, navegar por arquivos, registrar pressionamentos de teclas, acessar comunicações de entrada e saída, e roubar senhas de vítimas e outras credenciais para contas bancárias e carteiras de criptomoeda das máquinas das vítimas sem o seu conhecimento ou consentimento.

"Chakhmakhchyan trocou mensagens eletrônicas com compradores e explicou a um comprador que o malware 'permitia ao usuário do Hive RAT acessar o computador de outra pessoa sem que essa pessoa soubesse do acesso'", disse o DoJ.

A Polícia Federal Australiana (AFP), que anunciou acusações próprias contra um cidadão por seu suposto envolvimento na criação e venda do Hive RAT, disse que sua investigação sobre o assunto começou em 2020.

O suspeito não nomeado enfrenta 12 acusações, incluindo uma contagem de produção de dados com a intenção de cometer um delito de computador, uma contagem de controle de dados com a intenção de cometer um delito de computador e 10 contagens de fornecimento de dados com a intenção de cometer um delito de computador.

A pena máxima para cada uma dessas ofensas é de três anos de prisão.

"Remote Access Trojans são uma das ameaças cibernéticas mais nocivas no ambiente online – uma vez instalados em um dispositivo, um RAT pode fornecer aos criminosos acesso total e controle do dispositivo", disse a comandante interina de Cybercrime da AFP, Sue Evans.

"Isso pode incluir desde cometer crimes anonimamente, observar vítimas por dispositivos de câmera, apagar discos rígidos ou roubar credenciais bancárias e outras informações sensíveis."

Enquanto isso, procuradores federais nos EUA indiciaram Charles O. Parks III (também conhecido como "CP3O"), de 45 anos, por operar uma enorme operação ilegal de cryptojacking, fraudando "dois fornecedores conhecidos de serviços de computação em nuvem" em mais de $3.5 milhões em recursos de computação para minerar criptomoedas no valor de quase $1 milhão.

A acusação imputa a Parks fraude eletrônica, lavagem de dinheiro e envolvimento em transações monetárias ilegais. Ele foi preso em 13 de abril de 2024.

As acusações de fraude eletrônica e lavagem de dinheiro carregam uma sentença máxima de 20 anos de prisão.

Ele também enfrenta 10 anos de prisão pelas acusações de transações monetárias ilegais.

Embora o DoJ não declare explicitamente quais provedores de nuvem foram alvo da operação fraudulenta, observou que as empresas estão sediadas nas cidades do estado de Washington, Seattle e Redmond – as sedes corporativas da Amazon e da Microsoft.

"De janeiro de 2021 até agosto de 2021, Parks criou e usou uma variedade de nomes, afiliações corporativas e endereços de email, incluindo emails com domínios de entidades corporativas que ele operava [...] para registrar inúmeras contas com os provedores de nuvem e ganhar acesso a grandes quantidades de poder de processamento computacional e armazenamento que ele não pagou", disse o DoJ.

Os recursos obtidos ilicitamente foram então usados para minerar criptomoedas como Ether (ETH), Litecoin (LTC) e Monero (XMR), que foram lavados através de uma rede de bolsas de criptomoedas, um marketplace de token não fungível (NFT), um provedor de pagamentos online e contas bancárias tradicionais para ocultar o rastro de transações digitais.

Os lucros ilícitos, disseram os promotores, foram finalmente convertidos em dólares, que Parks usou para fazer várias compras extravagantes que incluíram um carro de luxo Mercedes Benz, joias e despesas de hotel e viagem de primeira classe.

"Parks enganou os provedores para aprovar privilégios e benefícios elevados, incluindo níveis elevados de serviços de computação em nuvem e acomodações de faturamento diferido, e desviou consultas dos provedores sobre o uso questionável de dados e crescentes saldos de assinaturas não pagas", disse o DoJ.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...