Durante anos, os grupos de cibercrime russos saíram impunes. O Kremlin e as forças de lei locais ignoraram os ataques de ransomware, desde que não tivessem empresas russas como alvo.
Apesar da pressão direta sobre Vladimir Putin para combater os grupos de ransomware, eles continuam ligados aos interesses da Rússia.
Uma recente fuga de informação de um dos mais conhecidos grupos, deu um vislumbre sobre a natureza desses laços — e o quão ténues eles podem ser, de acordo com a Ars Technica.
Foram divulgadas cerca de 60.000 mensagens e ficheiros do famoso grupo de ransomware Conti, que mostram como os hackers mantêm ligações à Rússia.
Os documentos, analisados pela WIRED e publicados pela primeira vez no final de fevereiro por um investigador ucraniano anónimo que se infiltrou no grupo, mostram como o Conti funciona diariamente, bem como as suas “cripto-ambições”
Provavelmente revelam ainda como os membros do Conti têm ligações ao Serviço Federal de Segurança (FSB) e sabem das operações dos hackers militares russos, apoiados pelo governo.
Enquanto o mundo lutava para enfrentar o surto da pandemia de covid-19, os cibercriminosos de todo o mundo viraram a sua atenção para a crise de saúde.
A 16 de julho desse ano, os governos do Reino Unido, EUA e Canadá apelaram publicamente aos hackers militares russos apoiados pelo Estado para tentarem roubar a propriedade intelectual, relacionada com os primeiros candidatos à vacina.
O grupo de hacking Cozy Bear, também conhecido como Advanced Persistent Threat 29 (APT29), estava a atacar empresas farmacêuticas e universidades, utilizando malware alterado e vulnerabilidades conhecidas, segundo os três governos.
Dias depois, os líderes da Conti falaram sobre o trabalho do Cozy Bear e referiram os seus ataques de ransomware.
Stern, a figura do CEO de Conti, e o Professor, outro membro do grupo, falaram sobre a criação de um escritório específico para “tópicos governamentais”.
Os detalhes foram comunicados pela primeira vez em fevereiro, mas estão também incluídos nas fugas de informação mais amplas do Conti.
Na mesma conversa, Stern disse ter alguém “externamente” que pagou ao grupo (embora não se diga para quê) e discutiu a tomada de posse dos alvos pela fonte.
“Eles querem informação sobre covid neste momento”, disse o Professor a Stern. “Os Cozy Bear já estão a trabalhar nisso”.
“Referem-se à criação de algum projeto a longo prazo e aparentemente deitam fora esta ideia de que eles [a parte externa] ajudariam no futuro”, diz Kimberly Goody, diretora de análise de cibercrimes na empresa de segurança Mandiant.
“Acreditamos que isso é uma referência a que se fossem tomadas medidas de aplicação da lei contra eles, esta parte externa poderia ajudá-los com isso“, explica a especialista.
Goody salienta que o grupo também menciona a Av. Liteyny em São Petersburgo — a casa dos escritórios locais da FSB.
Embora as provas das ligações diretas de Conti ao governo russo continuem a ser poucas, as atividades do grupo continuam a ir de encontro aos interesses de Putin.
“A impressão das conversas divulgadas é a de que os líderes do Conti compreenderam que lhes foi permitido operar, desde que seguissem diretrizes do governo russo”, diz Allan Liska, um analista da empresa de segurança Recorded Future. “Parece ter havido pelo menos algumas linhas de comunicação entre o governo russo e a liderança de Conti”.
Em abril de 2021, Mango, um gestor chave da Conti que ajuda a organizar o grupo, perguntou ao Professor: “Será que trabalhamos na política?”
Quando o Professor pediu mais informações, Mango partilhou mensagens que tinha com um JohnyBoy77 — todos os membros usam nicknames para ajudar a esconder as suas identidades.
A dupla estava a discutir pessoas que “trabalham contra a Federação Russa” e a potencial interceção de informação sobre elas.
JohnyBoy77 perguntou se os membros do Conti poderiam aceder aos dados de alguém ligado à Bellingcat, os jornalistas de investigação que expuseram hackers russos e redes secretas de assassinos.
Em particular, JohnyBoy77 queria informações ligadas à investigação da Bellingcat sobre o envenenamento do líder da oposição russa Alexey Navalny.
Queriam informações dos ficheiros da Bellingcat sobre Navalny, acesso às palavras-passe de um membro da Bellingcat, e mencionaram o FSB.
Em resposta às conversas do Conti, o diretor executivo da Bellingcat, Christo Grozevm, partilhou no Twitter que o grupo tinha já recebido dicas de que o FSB tinha estado a falar com um grupo de cibercrime sobre hackear os seus contribuintes.
“Somos nós patriotas ou quê?”. Mango perguntou ao Professor sobre os ficheiros. “Claro que somos patriotas“, responderam eles.
O patriotismo russo é comum a todo o grupo Conti, que tem muitos dos seus membros sediados no país.
No entanto, o grupo é internacional, com membros na Ucrânia e Bielorrússia, e ligações a membros noutros locais do mundo.
Nem todos os membros do grupo concordam com a invasão russa da Ucrânia, e têm discutido a guerra entre eles.
“Com a globalização destes grupos de resgate, só porque a liderança Conti se alinhou com a política russa, não significa que os afiliados tenham sentido o mesmo”, refere Liska.
Numa série de conversas que remontam a agosto de 2021, Spoon e Mango conversaram sobre as suas experiências na Crimeia.
A Rússia invadiu a Crimeia e anexou a região em 2014, um movimento que os líderes ocidentais acreditam que deveriam ter tentado impedir.
A região era bonita, disseram os hackers, mas Spoon não a visitava há 10 anos. “Terei de ir verificar isso no próximo ano”, disse Spoon. “Crimeia Russa“.
Embora os membros do grupo façam referência a interesses russos ou agências governamentais, é pouco provável que estejam a trabalhar em nome dos funcionários.
Os membros superiores do Conti podem ter contactos, mas é pouco provável que os programadores tenham tantas ligações.
“Penso que é realmente um subconjunto mais limitado de atores que podem realmente ter essas relações diretas, em vez de operações de grupo na sua totalidade”, realça Goody.
Desde que os ficheiros internos do Conti foram publicados a 27 e 28 de fevereiro, o grupo tem continuado a trabalhar.
“Eles reagiram, definitivamente”, diz Jérôme Segura, diretor de inteligência de ameaças na empresa de segurança Malwarebytes.
“Pode-se ver pelas conversas que eles estavam a fechar algumas coisas e a mudar para conversas privadas”. Mas era realmente negócio como de costume“. O grupo continuou a colocar os nomes e ficheiros das vítimas de ransomware no seu website, nas semanas após a fuga de informação.
O trabalho do Conti continua, apesar de os investigadores utilizarem os detalhes das fugas de informação do grupo para nomear os seus membros individuais.
A maior ameaça ao grupo, contudo, poderia vir do próprio governo da Rússia. A 14 de janeiro, a Rússia tomou a sua ação mais significativa até à data, contra um bando de ransomware.
O FSB prendeu 14 membros do grupo REvil, depois de receberem denúncias de funcionários norte-americanos, embora o grupo estivesse em grande parte adormecido há vários meses.
“Serão tomadas medidas se as autoridades russas sentirem que os líderes do Conti deixarem de ser úteis, mas se o Conti for capaz de continuar ou se forem capazes de mudar a sua marca, provavelmente não haverá qualquer ação”, prevê Liska.
“Se forem tomadas medidas, estas serão provavelmente semelhantes às medidas tomadas contra os membros da REvil, com uma série de detenções, apenas para libertar tranquilamente a maioria das pessoas presas cerca de um mês mais tarde”.
Não é claro se as autoridades tomarão medidas semelhantes contra os membros da Conti. Mas eles têm sido paranoicos, mesmo antes dos seus detalhes terem sido divulgados.
Em novembro de 2021, Kagas, membro da Conti, enviou uma mensagem a Stern. “Pareceu-nos que estávamos a ser seguidos, uma vez que carros desconhecidos estavam no pátio, com duas pessoas sentadas no carro”, escreveu.
Kagas referiu-se a um processo judicial e interromper o trabalho até que terminasse. “Os advogados dizem que até ao dia 13 é melhor sentar-se em silêncio e não fazer nada”. “Viver uma vida normal. E depois veremos o que acontece“, concluiu.
