Ucrânia, Conti e a lei das consequências não intencionais

A invasão russa da Ucrânia demonstrou a lei das consequências não intencionais da maneira mais inesperada. Ao apoiar publicamente a invasão, o grupo de ransomware até então mais ativo do mundo inspirou uma reação que parece ter prejudicado temporariamente a capacidade do grupo de operar e forneceu uma visão sem precedentes do mundo dos operadores de ransomware.

Conti ransomware 101

Os avanços na criptografia geraram novos tipos de aplicativos e modelos de negócios. Infelizmente, um deles é o ransomware. Combinado com a computação em nuvem, você obtém uma variedade especialmente virulenta – ransomware como serviço (RaaS). Entre os praticantes dessa arte sombria, o mais bem-sucedido em 2021 foi o Conti, grupo com sede na Rússia.

A premissa básica por trás do ransomware é criptografar dados em sistemas de computador de forma que apenas o detentor da chave de descriptografia possa decifrar os dados (no caso de Conti, uma variante do AES-256). A organização por trás do ataque se oferece para vender a chave para a vítima. Isso geralmente é combinado com um esquema de extorsão dupla, onde os dados roubados são ameaçados de serem liberados.

O Conti pegou esse “modelo de negócios” básico e o refinou em quase US$ 200 milhões em 2021.

A ideia básica tem uma ampla gama de variações na natureza. Os perpetradores mais proeminentes desse tipo de extorsão são as gangues organizadas. Muitas dessas gangues são conhecidas por operar na Rússia, com a aprovação tácita (ou possivelmente explícita) dos serviços de segurança russos. Muitas vezes, eles explicitamente não atacam alvos na Rússia.

Embora o ataque de 2021 à Colonial Pipeline não tenha sido obra do Conti, trouxe grande atenção à questão (e ampla resposta regulatória). Se viu uma grande parte da infraestrutura de petróleo dos EUA ser vítima de ransomware e, finalmente, a empresa pagou a demanda de resgate de 75 bitcoins (a maior parte foi recuperada mais tarde pelo FBI dos EUA, embora como eles fizeram isso não seja conhecido).

O Conti é igualitário na escolha de suas vítimas, incluindo instituições governamentais, corporações e indivíduos. Embora o Conti (e outros grupos) afirmem não visar hospitais, escolas e similares, os ataques do grupo incluíram sistemas médicos e de primeiros socorros, prejudicando a capacidade de lidar com a pandemia de Covid, além de um ataque devastador ao Sistema de Saúde Pública da Irlanda. No mundo do cibercrime, Conti parece dispensar a honra entre os ladrões.

Segundo relatos, um fluxo constante de vítimas paga seus resgates silenciosamente, sem alarde. Enquanto isso, especialistas nacionais e internacionais em segurança cibernética trabalham para combatê-los e educar o público sobre suas abordagens.

Nesse cenário global, uma dramática reviravolta na história se desenrolou: a Rússia invadiu a Ucrânia.

O desenrolar

A invasão russa da Ucrânia inspirou Conti a ameaçar aqueles que se opunham à invasão, deixando claro seu apoio às ações de Putin. Esta foi uma declaração pública ousada de apoio à invasão de Putin, e aparentemente expôs falhas dentro do próprio Conti. Em pouco tempo, alguém dentro da organização, ou que obteve acesso, começou a liberar uma torrente de vazamentos de cair o queixo, dando uma visão interna da chamada empresa.

Esses vazamentos ainda estão chegando no momento em que escrevo nesta conta do Twitter. Eles incluem logs de bate-papo, código-fonte, detalhes de infraestrutura e identidades – incluindo perfis do GitHub – de supostos membros de gangues.

Os logs de bate-papo são, principalmente, do serviço Jabber e pretendem incluir comunicações dos níveis mais altos do Conti. Além da discussão clara da extorsão cibernética como se fosse uma linha de negócios legítima, eles revelam um ambiente desagradável de intolerância, antissemitismo e misoginia, bem como um ambiente banal semelhante ao tom de funcionários remotos em todos os lugares.

É uma curiosa mistura do cotidiano e do surpreendente que revela muito sobre o mundo do cibercrime. Talvez o mais revelador seja como o processo se tornou banal e cotidiano. A organização desenvolveu kits de hackers que tornam o processo de comprometimento de redes algo em que até mesmo pessoas de nível básico podem entrar. (Incrivelmente, alguns novos contratados são levados a acreditar que estão trabalhando em testes de penetração legítimos de chapéu branco.)

Os logs também revelam um interesse intenso em criptomoedas como Bitcoin em chats solicitando ideias sobre a melhor forma de entrar em criptomoedas. Essas ambições incluem construir seus próprios sistemas descentralizados, possivelmente para agilizar a troca de resgates, ou talvez como um novo meio de gerar receita, ou talvez simplesmente porque é a coisa legal a se fazer hoje em dia.

“Para construir o nosso, onde já será possível colar NFT, DEFI, DEX, e todas as novas tendências que existem e [ainda] serão. Para que outros já possam criar suas próprias moedas, trocas e projetos em nosso sistema”, diz um registro de bate-papo vazado do Conti.

O Conti está constantemente atualizando seus recursos para refletir as vulnerabilidades mais recentes, por exemplo, o grupo estava em toda a vulnerabilidade do Log4Shell.

Os vazamentos também revelam mais sobre os laços do Conti com a Rússia e o FSB.

As fontes são postadas no VirusTotal neste tweet. O BleepingComputer compilou e executou com sucesso o pacote locker/decryptor sem problemas. Os vazamentos também incluem fontes do notório malware TrickBot, uma espécie de pacote de hackers completo.

Hacktivistas têm seu dia

Esta não é a primeira vez que se oferece ao grupo o gosto de seu próprio remédio. Em 2021, um ‘parceiro’ descontente revelou outras informações sobre o grupo.

Esse vazamento recente, no entanto, é mais completo e aparentemente comprometeu a capacidade de funcionamento do grupo. Embora os especialistas achem que o grupo se reconfigurará para continuar suas atividades, não está claro se eles poderão operar no mesmo nível visto anteriormente. Eles desmantelaram uma parte significativa de sua infraestrutura em resposta aos vazamentos.

Grande parte do vazamento está em cirílico, e tem muito disso. É um empreendimento épico analisar e contextualizar as informações, especialmente no que diz respeito às informações técnicas práticas que fornece para identificar e neutralizar os operadores de ransomware, mas está claro que as informações já estão tendo um efeito profundo no Conti, cujo chefe se escondeu como uma consequência.

Este não é o único exemplo de hacktivismo inspirado na invasão da Ucrânia. Por exemplo, o grupo @beehivecybersec postou um ataque bem-sucedido que derrubou o site do Ministério das Relações Exteriores da Rússia. Uma implicação mais ampla aqui é o poder do sentimento na comunidade global de influenciar a força da segurança cibernética e da atividade de hackers de uma forma ou de outra. Há uma interação dos mundos real e virtual aqui, e a invasão pode ter alterado a forma das coisas de uma maneira fundamental daqui para frente.

Ao dividir a unidade anterior encontrada ao não atacar as nações eslavas, a invasão introduziu uma brecha na comunidade de ransomware. O Conti provavelmente se reconfigurará e voltará ao seu negócio de extorsão, mas o cenário em que atua pode nunca mais ser o mesmo.

O papel que a segurança cibernética e o crime cibernético desempenham nos eventos mundiais se torna cada vez mais proeminente, como ficou claro em um anúncio de 21 de março de 2021 do Presidente dos EUA, Joe Biden, onde a ameaça de ataque cibernético da Rússia é claramente explicitada.

A Agência de Segurança Cibernética e Infraestrutura dos EUA emitiu um aviso contínuo cobrindo a situação geral de segurança cibernética e um específico para Conti, com alertas atualizados. Esses avisos são atualizados para refletir os desenvolvimentos à medida que a agência incorpora informações dos vazamentos, incluindo indicadores de comprometimento, bem como dados sobre os vários elementos de suas táticas para obter acesso às redes.