Os analistas “acreditam fortemente” que o estado russo está em conluio com gangues de ransomware
“Temos a fumaça, o cheiro de pólvora e uma cápsula de bala. Mas não temos a arma para ligar a atividade ao Kremlin.
” Isso é o que Jon DiMaggio, chefe de segurança Stretegist da Analyst1, disse em uma entrevista à CBS News após o lançamento de seu último whitepaper, intitulado “ Nation State Ransomware “. O white paper é a tentativa do Analyst1 de identificar a profundidade das relações humanas entre o governo russo e os grupos de ameaças de ransomware baseados na Rússia.
“Queríamos ter isso, mas acreditamos que, após realizar uma extensa pesquisa, chegamos o mais perto possível de prová-lo com base nas informações / evidências disponíveis hoje.” DiMaggio concluiu.
Aqui estão alguns dos principais participantes e conexões identificados pelo Analista1:
Evgeniy “Slavik” Bogachev
Aclamado como “ o ladrão de banco mais prolífico do mundo “, Bogavech é mais conhecido por criar o ZeuS , um dos mais prolíficos ladrões de informações bancárias já vistos. De acordo com o relatório, Bogavech criou uma “variante secreta do ZeuS e rede de apoio” por conta própria, sem o conhecimento de seus associados clandestinos mais próximos – The Business Club . Esta variante do ZeuS, que é um GameOver ZeuS (GOZ) modificado, foi projetada especificamente para espionagem e destinava-se a governos e agências de inteligência ligadas à Ucrânia, Turquia e Geórgia.
O analista1 também acredita que, em algum momento , Bogachev foi abordado pelo governo russo para trabalhar para eles em troca de sua bênção para que ele continuasse suas operações fraudulentas.
Os Estados Unidos indiciaram oficialmente Bogachev em maio de 2014. Sete anos depois, a Rússia ainda se recusa a extraditar Bogachev. O Ministério do Interior da Ucrânia havia fornecido o motivo: Bogachev estava “trabalhando sob a supervisão de uma unidade especial do FSB”. Ou seja, o Serviço de Segurança Federal , agência de segurança da Rússia e sucessora da KGB da União Soviética .
EvilCorp
O Business Club, a gangue criminosa clandestina que o próprio Bogachev montou, continuou suas operações. Na verdade, sob a nova liderança de Maksim “Aqua” Yakubets, o sucessor de Bogachev, a empresa criminosa mudou de nome e passou a se chamar EvilCorp. Algumas empresas de segurança cibernética os reconhecem ou os chamam de Indrik Spider . Desde então, eles têm estado por trás de campanhas que envolvem a coleta de credenciais bancárias em mais de 40 países, usando um malware Trojan sofisticado conhecido como Dridex .
Yakubets foi contratado pelo FSB em 2017 para apoiar diretamente os “esforços cibernéticos maliciosos” do governo russo. Ele também é o provável candidato a este cargo devido ao seu relacionamento com Eduard Bendesky, um ex-coronel do FSB que também é seu sogro. Também foi em 2017 que a EvilCorp começou a criar e usar ransomware – BitPaymer, WastedLocker e Hades – para suas campanhas com motivação financeira. Além disso, o Dridex foi usado para colocar ransomware nas máquinas das vítimas.
SilverFish
SilverFish foi um daqueles agentes de ameaças que foram rápidos o suficiente para tirar proveito da violação da SolarWinds que foi tornada pública em meados de dezembro de 2020. Se você deve se lembrar, várias empresas que usam o software Orion da SolarWind foram supostamente comprometidas por meio de um ataque à cadeia de suprimentos .
SilverFish é um conhecido atacante de espionagem russo e é conhecido como parente da EvilCorp, pois esse grupo compartilhava ferramentas e técnicas semelhantes contra uma vítima: uso da mesma infraestrutura de comando e controle (C&C) e CobaltStrike Beacon exclusivo. SilverFish até atacou a mesma organização alguns meses depois que a EvilCorp a atacou com seu ransomware.
Aranha feiticeira
Wizard Spider é a gangue por trás das variedades de ransomware Conti e Ryuk . Analyst1 já havia descrito o Wizard Spider como um dos grupos que operam como parte de um cartel de ransomware . DiMaggio e sua equipe acreditam que o Wizard Spider é responsável por gerenciar e controlar o TrickBot .
A EvilCorp tem um histórico de usar o TrickBot para entregar seu ransomware BitPaymer aos sistemas das vítimas. Isso sugere que um certo nível de relacionamento está em jogo entre os dois grupos.
Isso importa?
Embora o relatório Analyst1 contenha algumas descobertas interessantes, concordamos que ele não é uma arma fumegante. Isso não significa que não haja uma arma fumegante em algum lugar, é claro. Mas mesmo se houver, a menos que você seja uma agência de inteligência como a NSA, estabelecer a intenção de um invasor em potencial pode ser uma perda de tempo e esforço.
Isso significa que você não deve se preocupar com a atribuição? Não. É sensato atualizar seu modelo de ameaça em resposta às táticas usadas por atores de ameaças do mundo real. Mas muitas vezes não importa quem está atacando. O ransomware é uma ameaça bem estabelecida e com muitos recursos para o seu negócio, seja ele financiado pelo estado ou gangues criminosas que vivem de vários anos de pagamentos multimilionários e um boom de Bitcoin.