Saiba como um ucraniano especialista em TI expôs gangue russa de ransomware
Ucraniano disse à CNN que não pode atirar em nada, mas pode lutar com teclado e mouse
Para proteger a identidade, a CNN concordou em se referir a ele por um pseudônimo: Danylo.
Quando a artilharia russa começou a crescer em sua terra natal no mês passado, um pesquisador de computadores ucraniano decidiu revidar da melhor maneira que sabia – sabotando uma das mais formidáveis gangues de ransomware da Rússia.
Quatro dias após a invasão da Rússia, o pesquisador começou a publicar o maior vazamento de arquivos e dados do Conti, um sindicato de cibercriminosos russos e da Europa Oriental procurados pelo FBI por realizar ataques a centenas de organizações dos EUA e causar milhões de dólares em perdas.
Os milhares de documentos e comunicações internas incluem evidências que parecem sugerir que os agentes da Conti têm contatos dentro do governo russo, incluindo o serviço de inteligência FSB. Isso apóia uma alegação de longa data dos EUA de que Moscou conspirou com cibercriminosos para obter vantagens estratégicas.
O especialista em computação ucraniano por trás do vazamento falou exclusivamente à CNN e descreveu sua motivação para buscar vingança depois que os agentes da Conti publicaram uma declaração em apoio ao governo russo imediatamente após a invasão da Ucrânia. Ele também descreveu seus esforços desesperados para rastrear entes queridos na Ucrânia nas últimas semanas.
“Não posso atirar em nada, mas posso lutar com teclado e mouse”, disse Danylo.
A coleção de dados que Danylo vazou no final de fevereiro ilustra por que a segurança cibernética tem sido uma questão tão preocupante nas relações EUA-Rússia. Inclui contas de criptomoedas que os hackers do Conti usaram para supostamente receber milhões de dólares em pagamentos de resgate, suas discussões sobre como extorquir empresas americanas e sua aparente mira em um jornalista que investiga o envenenamento do crítico do Kremlin, Alexey Navalny.
Mas também mostra o quão difícil pode ser desabilitar as operações de ransomware. Apesar de Danylo desmascarar suas operações, os hackers continuam anunciando novas organizações de vítimas.
Danylo, que trabalhou como pesquisador de segurança cibernética por anos e estudou a economia cibercriminosa clandestina na Europa, é apenas um vigilante em uma guerra sombria que surgiu entre hackers e executivos de segurança cibernética que prometeram apoio aos governos ucraniano e russo como o maior território guerra na Europa desde que a Segunda Guerra Mundial se arrasta.
Mas ao desestabilizar um grupo tão notório quanto o Conti, Danylo ganhou mais atenção do que outros. O FBI, disse Danylo, entrou em contato com ele depois que ele começou a vazar os arquivos do Conti, pedindo que ele parasse de vazar.
Questionado pelos jornalistas, o FBI se recusou a comentar. A CNN corroborou a alegação de Danylo de que ele era o vazador analisando evidências de que ele tinha acesso à conta do Twitter que estava publicando os dados da Conti, bem como um site que Danylo e outra pessoa, que recebeu anonimato para sua proteção, estavam usando para compartilhar dados contidos nos vazamentos.
Danylo não falou com a mídia sobre seus motivos – até agora. Ele fez isso enquanto navegava em um país devastado pela guerra para o qual ele havia retornado recentemente e mal conseguia reconhecer.”É o meu país”, disse ele em entrevista por telefone. “Se eles [o governo ucraniano] me fornecerem armas, tudo bem, vou lutar. Mas sou melhor digitando.”
Retribuição digital
Danylo afirma que primeiro obteve acesso aos sistemas de computador usados pelo que se tornaria o sindicato Conti em 2016. Embora ele tenha se recusado a explicar em detalhes como fez isso, especialistas em segurança independentes verificaram à CNN que o conjunto de dados pertence realmente aos hackers.
(Conti é o nome do software malicioso e do sindicato cibercriminoso que o usa. O grupo também é afiliado ao TrickBot, outra ferramenta de hacking usada em vários ataques de ransomware.)
“Às vezes eles cometem erros”, disse Danylo, referindo-se aos grupos de ransomware. “Você precisa pegá-los quando eles cometerem um erro. Eu apenas estava no lugar certo na hora certa. Eu os estava monitorando.”
Durante anos, disse Danylo, ele se escondia discretamente nos servidores de computador dos hackers e passava informações sobre as operações do grupo para autoridades europeias.
O ransomware Conti tem sido desenfreado nos últimos dois anos, com os hackers fazendo inúmeras vítimas por semana.
Em setembro de 2020, os hackers alegaram ter roubado arquivos de um tribunal distrital na Louisiana. Em março de 2021, o ransomware Conti foi usado em um hack que prejudicou as redes de computadores do sistema de saúde público de US$ 25 bilhões da Irlanda, interrompendo uma maternidade em Dublin.
O trabalho sombrio foi lucrativo: hackers que usam o ransomware Conti receberam pelo menos US$ 25,5 milhões em pagamentos de resgate no período de apenas quatro meses em 2021, segundo a Elliptic, uma empresa que rastreia transações de criptomoedas.
Mas algo estalou em Danylo em 25 de fevereiro de 2022, quando os agentes da Conti publicaram uma declaração prometendo seu “apoio total” ao governo russo ao atacar a Ucrânia. Um ataque aéreo russo aterrissou não muito longe da casa de um membro da família.
O pesquisador de segurança cibernética cresceu na Ucrânia quando fazia parte da União Soviética. Ele não queria vê-lo voltar às mãos dos russos.Os membros do Conti tentaram reverter sua declaração, alegando que não estavam apoiando nenhum governo, mas Danylo já tinha ouvido o suficiente.Perguntado novamente por que ele descartou os dados do Conti, Danylo disse com uma risada: “Para provar que eles são filhos da puta”.
Ele estava exausto depois de um longo dia navegando em postos militares na Ucrânia, em busca de cigarros e olhando para o céu em busca de sinais do próximo ataque aéreo.
Contactado pelo FBI
Conti é exatamente o tipo de grupo de ransomware que o presidente Joe Biden impôs no ano passado o presidente russo Vladimir Putin a enfrentar em meio a uma série de ataques à infraestrutura crítica dos EUA.
O Kremlin parecia balançar a perspectiva de colaborar com os EUA para combater o cibercrime em janeiro deste ano, quando a agência de inteligência russa FSB anunciou a prisão de vários criminosos cibernéticos acusados. Mas as chances de cooperação bilateral em crimes cibernéticos diminuíram após a invasão russa da Ucrânia, que matou mais de mil civis, segundo as Nações Unidas, e fez de Putin um pária internacional.
Depois que ele começou a vazar os dados, disse Danylo, um agente especial do FBI entrou em contato com ele e pediu que ele parasse. Expor a infraestrutura da Conti poderia, em teoria, tornar mais difícil para o FBI rastrear o grupo porque poderia instalar novos sistemas de computador.Danylo parou de vazar por enquanto. Mas ele diz que ainda tem acesso a alguns sistemas de computador da Conti.Pelo menos um oficial da lei que falou com a CNN teria preferido que Danylo tivesse mantido esse acesso secreto, em vez de alertar o sindicato de ransomware sobre sua presença vazando os dados.
“Divulgar publicamente informações como [o vazador fez] é imprudente”, disse um oficial da lei dos EUA à CNN. “Trabalhar cooperativamente com a aplicação da lei pode alcançar um impacto mais substancial e duradouro na interrupção das operações de grupos como o Conti”.
Mas John Fokker, um ex-investigador de crimes cibernéticos da polícia holandesa, disse que o vazamento pode realmente ser útil para policiais que perseguem criminosos cibernéticos.”Sim, a infraestrutura pode ser queimada. No entanto, a quantidade de dados fornecidos nos vazamentos me deixa confiante de que a polícia obteve as informações necessárias para redigir acusações contra indivíduos-chave”, disse Fokker, que trabalha em estreita colaboração com a polícia europeia como chefe de investigações cibernéticas na empresa de segurança Trellix.
Um catálogo de crimes
Os vazamentos da Conti são um catálogo surpreendente dos supostos crimes de uma empresa criminosa multimilionária.
A CNN avaliou e traduziu o cache original de documentos que Danylo compartilhou com o mundo via Twitter.
As comunicações mostram membros do Conti, cada um usando pseudônimos nos logs de bate-papo, discutindo a sabedoria de extorquir pequenas empresas dos EUA, aparentemente evitando hackear alvos russos e se interessando por um jornalista escrevendo sobre Navalny, a figura da oposição russa que foi presa e envenenado.
Em abril de 2021, os membros do Conti “mango” e “johnyboy77” discutiram planos para acessar arquivos pertencentes a um jornalista para o jornal investigativo Bellingcat, que havia publicado uma investigação conjunta com a CNN em dezembro de 2020 sobre o suposto papel da agência de inteligência russa FSB no envenenamento de Navalny.
“Mano, não se esqueça de Navalny, eu avisei o chefe – ele está esperando por detalhes”, escreveu manga para johnyboy77 em russo.
Não está claro quem é “o chefe” nesta troca. Mas Christo Grozev, principal investigador russo da Bellingcat, twittou que o bate-papo vazado corroborava uma denúncia anônima que a Bellingcat recebeu afirmando que um “‘grupo global de crimes cibernéticos agindo em uma ordem do FSB hackeou um de seus colaboradores'”.
Agentes da Conti se referem em seus bate-papos à Avenida Liteyny em São Petersburgo, que por acaso abriga os escritórios locais da FSB, de acordo com Kimberly Goody, diretora de análise de crimes cibernéticos da empresa de segurança Mandiant.
“De um modo geral, seria relativamente surpreendente saber que uma operação tão extensa como essa não seria de alguma forma alavancada como um ativo [pelo governo russo] em um momento”, disse Goody à CNN.
A Embaixada da Rússia em Washington não respondeu a um pedido de comentário. O governo russo há muito nega as acusações de que faz vista grossa ao cibercrime.
Também parece haver uma correlação entre os vazamentos do Conti e os avisos públicos de autoridades de segurança cibernética dos EUA, sugerindo que as autoridades federais estão observando de perto o grupo.
Em 26 de outubro de 2020, enquanto os hospitais dos EUA continuavam a se recuperar dos casos de coronavírus, um membro do Conti com o pseudônimo Troy escreveu para outro membro em russo: “F****-se as clínicas nos EUA esta semana … Haverá pânico. 428 hospitais.”
Dois dias depois, o FBI e a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiram um alerta terrível sobre ataques de ransomware a hospitais, muitos dos quais usaram um software malicioso que os documentos vazados vinculam a agentes da Conti. Não ficou claro qual inteligência específica provocou o alerta federal sobre os hospitais, mas o momento foi surpreendente.
‘É o meu trabalho’
Os ataques cibernéticos desempenharam um papel de apoio na guerra na Ucrânia. A Casa Branca acusou a agência de inteligência militar russa GRU de derrubar os principais sites do governo ucraniano offline antes da invasão – uma acusação que o Kremlin nega.
Autoridades dos EUA também estão investigando uma invasão de uma rede de satélites que atende partes da Ucrânia, que ocorreu quando a invasão russa começou, como uma possível invasão patrocinada pelo Estado russo, informou a CNN anteriormente .
Por sua vez, o governo ucraniano encorajou um “exército de TI” de hackers voluntários na Ucrânia e no exterior a realizar ataques cibernéticos a organizações russas.
No livre para todos que é o ciberespaço ucraniano, combatentes como Danylo se envolvem em seus próprios termos.
Questionado sobre como ele está nos últimos dias, as respostas de Danylo têm sido consistentes: “Ainda vivo”.
Ver casas e escolas virarem escombros tirou o vigor de sua voz.
Danylo lembrou-se, nos primeiros dias da guerra, de entrar em um bunker durante um bombardeio, com seu laptop, e trabalhar nos arquivos do Conti. Outra pessoa no bunker ficou perplexa por ele estar focado em seu computador em meio ao bombardeio.
“O que diabos você está fazendo?” Danylo lembrou-se da pessoa que lhe perguntou.Danylo riu nervosamente enquanto contava a história. “É o meu trabalho”, declarou ele à CNN. “[Eu faço isso] porque eu posso.”
Depois de semanas vivendo a guerra, Danylo afirmou que saiu em segurança da Ucrânia com seu laptop esta semana.
