O Tesouro dos EUA sanciona lavador de dinheiro russo em repressão ao cibercrime
6 de Novembro de 2023

O Departamento do Tesouro dos Estados Unidos impôs sanções contra uma mulher russa por participar da lavagem de moeda virtual para a elite do país e grupos de ciber criminosos, incluindo o grupo de ransomware Ryuk.

Segundo o departamento, Ekaterina Zhdanova teria facilitado grandes transações transfronteiriças para ajudar indivíduos russos a acessar os mercados financeiros ocidentais e evitar sanções internacionais.

"Zhdanova usa entidades que não têm controles Anti-Money Laundering/Combatting the Financing of Terrorism (AML/CFT), como a bolsa de criptomoedas russa designada pela OFAC, Garantex Europe OU (Garantex)", disse o Departamento do Tesouro na semana passada.

"Zhdanova se baseia em vários métodos de transferência de valor para movimentar fundos internacionalmente.

Isso inclui o uso de dinheiro e o aproveitamento de conexões com outros associados e organizações internacionais de lavagem de dinheiro."

Vale ressaltar que a Garantex já havia sido sancionada pelos EUA em abril de 2022, coincidindo com a derrubada do mercado secreto da web conhecido como Hydra.

Zhdanova também foi acusada de oferecer serviços a indivíduos ligados ao grupo russo de ransomware Ryuk, lavando mais de $2,3 milhões de pagamentos suspeitos de vítimas em nome de um afiliado de ransomware Ryuk em 2021.

Ryuk, um antecessor do ransomware Conti, surgiu pela primeira vez no cenário de ameaças em 2018, e comprometeu governos, academia, saúde, manufatura e organizações tecnológicas em todo o mundo.

Em fevereiro deste ano, um cidadão russo de 30 anos chamado Denis Mihaqlovic Dubnikov se declarou culpado nos EUA por acusações de lavagem de dinheiro e por tentar esconder a origem dos fundos obtidos em conexão com ataques de ransomware Ryuk.

O desenvolvimento vem quando um recorde de 514 vítimas de ransomware foi relatado no mês de setembro de 2023, registrando um aumento de 153% ano a ano, acima dos 502 em julho e 390 em agosto.

Cerca de 100 desses ataques foram atribuídos a grupos emergentes como LostTrust e RansomedVC. Alguns dos outros novos participantes observados nos últimos meses incluem Dark Angels, Knight, Money Message e Good Day.

"Os níveis recordes de ataques de ransomware são parcialmente o resultado do surgimento de novos atores de ameaças, incluindo RansomedVC", disse o grupo NCC no final do mês passado.

"RansomedVC opera como 'testadores de intrusão'.

No entanto, sua abordagem para extorsão também incorpora a afirmação de que quaisquer vulnerabilidades descobertas na rede de seus alvos serão relatadas em conformidade com o Regulamento Geral de Proteção de Dados (GDPR) da Europa.

A afluência de novos grupos demonstra a evolução do cenário de ransomware, mesmo quando os atores de ameaças mais estabelecidos continuam a se adaptar e refinar suas táticas e técnicas para evitar controles de segurança.

No mês passado, a Unit 42 da Palo Alto Networks relatou a adição de uma utilidade chamada Munchkin ao seu arsenal pelo BlackCat para propagar o payload do ransomware para máquinas remotas e compartilhamentos em uma rede de organizações vítimas.

"Essa ferramenta forneceu um sistema operacional (OS) baseado em Linux rodando Sphynx", disseram os pesquisadores da Unit 42.

"Os operadores de ameaças podem usar essa utilidade para executar o BlackCat em máquinas remotas, ou para implantá-lo e criptografar o Server Message Block (SMB)/Common Internet File Shares (CIFS) remotos."

A diversificação do ransomware é evidenciada pelo fato de que coletivos hacktivistas como o GhostSec - que faz parte das Five Families - entraram na briga, lançando um cadeado personalizado chamado GhostLocker para obter ganho financeiro.

"Mesmo que o GhostLocker não seja bem-sucedido no mercado de [ransomware como serviço], parece óbvio que ele é um ponto de virada como modelo", disse a SOCRadar.

"O fato de ser relativamente barato, funcionar com uma porcentagem muito baixa e ser acessível para quase todos pode aumentar os ataques de ransomware para níveis graves."

A empresa de segurança cibernética Uptycs, em sua própria análise de GhostSec e GhostLocker, descreveu a jogada como uma "partida surpreendente de suas atividades passadas e agenda declarada", dado o histórico do coletivo de mirar em entidades israelenses em apoio à Palestina.

O aumento dos ataques de ransomware também levou uma aliança de 50 países, chamada International Counter Ransomware Initiative, a se comprometer a nunca pagar demandas de resgate na tentativa de desencorajar atores motivados financeiramente e gangues de ransomware a lucrar com esses esquemas.

"Para se proteger contra o ransomware, é imperativo adotar uma estratégia de defesa abrangente", disse Uptycs.

"Esta estratégia deve englobar sistemas de backup resilientes, software de segurança eficaz, treinamento de usuários e um plano de resposta a incidentes proativo."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...