O FBI apreendeu o infame fórum de cibercrime RAMP, uma plataforma amplamente utilizada para a divulgação de variados malwares e serviços de hacking, além de ser um dos poucos fóruns remanescentes que permitia abertamente a promoção de operações de ransomware.
Tanto o site na rede Tor quanto o domínio na internet comum, ramp4u[.]io, agora exibem um aviso de apreensão com a mensagem: "O Federal Bureau of Investigation apreendeu o RAMP".
“O ato foi realizado em coordenação com o Escritório do Procurador dos Estados Unidos para o Distrito Sul da Flórida e a Seção de Crimes Computacionais e Propriedade Intelectual do Departamento de Justiça”, informa o comunicado.
A mensagem de apreensão ainda provoca os operadores do fórum, exibindo o slogan do próprio RAMP: “THE ONLY PLACE RANSOMWARE ALLOWED!” (“O ÚNICO LUGAR ONDE RANSOMWARE É PERMITIDO!”), acompanhado do personagem Masha, da animação russa “Masha and the Bear”, piscando o olho.
Embora não tenha havido anúncio oficial das autoridades sobre a apreensão, os servidores DNS do domínio foram alterados para os usados pelo FBI em casos similares.
Com isso, a polícia ganha acesso a uma quantidade significativa de dados vinculados aos usuários do fórum, incluindo endereços de e-mail, IPs, mensagens privadas e outras informações potencialmente incriminatórias.
Para os cibercriminosos que não adotaram práticas adequadas de segurança operacional (opsec), isso pode resultar em identificação e prisões.
O RAMP foi lançado em julho de 2021, após a proibição da promoção de operações de ransomware em fóruns populares de língua russa, como Exploit e XSS.
Essa restrição ocorreu devido à pressão crescente das autoridades ocidentais após o ataque de ransomware DarkSide ao oleoduto Colonial Pipeline.
No mesmo mês, surgiu o RAMP, posicionando-se como um dos últimos espaços onde o ransomware podia ser anunciado abertamente.
Isso atraiu diversos grupos criminosos, que passaram a promover suas operações, recrutar afiliados e negociar acessos a redes.
O fórum foi criado por um ator conhecido como Orange, que também usava os apelidos Wazawaka e BorisElcin.
Orange foi anteriormente administrador da operação de ransomware Babuk, que encerrou suas atividades após atacar o Departamento de Polícia Metropolitana de Washington, D.C.
Conflitos internos teriam causado uma cisão no grupo, principalmente sobre a decisão de vazar dados roubados de órgãos de segurança pública.
Após a divulgação do material, o grupo se desfez.
Com o fim do Babuk, Orange lançou o RAMP em um domínio onion na rede Tor anteriormente usado pelo Babuk.
Pouco depois de sua criação, o RAMP sofreu ataques de negação de serviço distribuído (DDoS), que prejudicaram a disponibilidade do fórum.
Orange culpou publicamente ex-parceiros do Babuk pelos ataques, mas eles negaram envolvimento, afirmando não ter interesse no fórum.
O jornalista especializado em cibersegurança Brian Krebs revelou que o verdadeiro nome por trás dos apelidos Orange e Wazawaka é Mikhail Matveev, cidadão russo.
Em entrevista ao especialista Dmitry Smilyanets, da Recorded Future, Matveev confirmou ter operado sob o nome Orange e que criou o RAMP aproveitando a infraestrutura do Babuk.
Ele explicou que o fórum inicialmente tinha o objetivo de reutilizar a base já existente, mas disse que o RAMP não gerou lucros e sofreu constantes ataques DDoS, o que o levou a abandonar a administração após o fórum ganhar visibilidade.
Em 2023, Matveev foi indiciado pelo Departamento de Justiça dos EUA por envolvimento em diversas operações de ransomware, incluindo Babuk, LockBit e Hive, que atacaram organizações de saúde, agências de segurança e infraestruturas críticas americanas.
Além disso, foi sancionado pelo Escritório de Controle de Ativos Estrangeiros do Tesouro dos EUA (OFAC) e incluído na lista de procurados do FBI, com recompensa de até 10 milhões de dólares oferecida pelo Departamento de Estado por informações que levem à sua prisão ou condenação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...