Hacker de Ransomware LockBit e Conti é preso
13 de Junho de 2024

A Polícia Cibernética da Ucrânia anunciou a prisão de um homem local suspeito de oferecer seus serviços aos grupos de ransomware LockBit e Conti.

O indivíduo não identificado, de 28 anos e natural da região de Kharkiv, supostamente se especializou no desenvolvimento de crypters para criptografar e ocultar payloads a fim de evitar a detecção por programas de segurança.

Acredita-se que o produto tenha sido oferecido aos sindicatos de ransomware Conti e LockBit, que então usaram o crypter para disfarçar o malware de criptografia de arquivos e lançar ataques bem-sucedidos.

"E no final de 2021, membros do grupo [Conti] infectaram as redes de computadores de empresas na Holanda e na Bélgica com malware oculto", de acordo com uma versão traduzida do comunicado divulgado pela agência.

Como parte da investigação, as autoridades conduziram buscas em Kyiv e Kharkiv, e apreenderam equipamentos de computador, telefones móveis e cadernos.

Se considerado culpado, o réu pode enfrentar até 15 anos de prisão.

A notícia da prisão também foi ecoada pela Polícia Holandesa (Politie), que disse que o indivíduo foi preso como parte da Operação Endgame em 18 de abril de 2024.

"O grupo Conti usou vários botnets que também foram objeto de pesquisa dentro da Operação Endgame", disse a Politie no início deste mês.

Dessa forma, o grupo Conti ganhou acesso aos sistemas das empresas.

Ao mirar não apenas os suspeitos por trás dos botnets, mas também os suspeitos por trás dos ataques de ransomware, essa forma de cibercrime sofre um grande golpe. Nos últimos meses, as autoridades de aplicação da lei se envolveram em uma série de prisões e desmantelamentos para combater o cibercrime.

No mês passado, o Departamento de Justiça dos EUA anunciou a prisão de um cidadão taiwanês chamado Rui-Siang Lin, em conexão com sua propriedade de um mercado ilegal de narcóticos na dark web chamado Incognito Market.

Lin também é dito ter lançado um serviço chamado Antinalysis em 2021 sob o pseudônimo Pharoah, um site projetado para analisar blockchains e permitir que os usuários verifiquem se a sua criptomoeda poderia estar conectada a transações criminosas por uma taxa.

O bazar na darknet chamou atenção no início de março quando seu site saiu do ar em um tipo de golpe de saída, apenas para reaparecer alguns dias depois com uma mensagem extorquindo todos os seus vendedores e compradores, e ameaçando publicar transações de criptomoeda e registros de bate-papo dos usuários, a menos que pagassem entre $100 e $20,000.

"Por quase quatro anos, Rui-Siang Lin teria operado o 'Incognito Market', uma das maiores plataformas online para vendas de narcóticos, realizando $100 milhões em transações ilícitas de narcóticos e angariando milhões de dólares em lucros pessoais", disse James Smith, o assistente do diretor encarregado do escritório de campo do FBI em Nova York.

Sob a promessa de anonimato, a suposta operação de Lin ofereceu a compra de drogas letais e medicamentos prescritos fraudulentos em escala global. De acordo com dados compilados pela firma de análise de blockchain Chainalysis, os mercados da darknet e lojas de fraude receberam $1.7 bilhão em 2023, indicando uma recuperação desde 2022 desde o fechamento da Hydra no início daquele ano.

O desenvolvimento ocorre enquanto a GuidePoint Security revelou que um afiliado atual do grupo de ransomware RansomHub, que anteriormente era um afiliado da BlackCat, também tem conexões com a infame gangue Scattered Spider baseada em sobreposições em táticas, técnicas e procedimentos (TTPs) observados.

Isso engloba o uso de ataques de engenharia social para orquestrar a tomada de contas ao entrar em contato com o pessoal de suporte técnico para iniciar redefinições de senha de contas e o alvo de CyberArk para furto de credenciais e movimento lateral.

"A educação dos usuários e processos projetados para verificar a identidade de chamadores são os dois meios mais eficazes de combater essa tática, que quase sempre passará despercebida a menos que seja relatada pelos funcionários", disse a empresa.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...