Como ajudamos a capturar uma gangue de ransomware

//Como ajudamos a capturar uma gangue de ransomware

Talvez o maior problema com cibercriminosos é que eles são extremamente difíceis de prender. Pense em ladrões de banco do mundo concreto com armas e máscaras – os ladrões deixam impressões digitais; suas vozes são gravadas por câmeras de segurança; a polícia pode seguir seus carros com câmeras de trânsito e por aí vai. Tudo isso favorece a possibilidade dos investigadores encontrarem os culpados. Contudo, quando cibercriminosos executam um roubo, eles deixam… basicamente, nada. Nenhuma pista.

Ainda assim, algumas vezes eles são pegos. Lembra-se do banking Trojan SpyEye? Seus criadores foram capturados em 2011. Lembra do grupo Carberp, ativo entre 2010 e 2012? Atrás das grades também. E o exploit Angler que simplesmente sumiu no final de junho? O Lurk malware parou seus ataques na mesma época, pois o grupo por trás da atividade criminosa também foi capturado, com o auxílio de uma parceria entre as autoridades russas e a Kaspersky Lab.

A história começou ainda em 2011, quando encontramos o Lurk pela primeira vez. O que nos chamou a atenção foi o fato que um banking Trojan qualquer foi classificado em nosso sistema como um trojan que poderia ser usado para muita coisa, mas não roubar dinheiro. Foi aí que analisamos mais de perto.

A investigação quase não deu em nada – o Trojan parecia inofensivo. Mas os ataques continuaram, e nossos analistas foram capazes de obter mais amostras para análise.

Durante esse tempo, aprendemos muito sobre o Lurk. Por exemplo, ele possuía estrutura modular: quando o Trojan detectava ter infectado um computador com um software de remote banking, ele baixava a ordem de pagamento maliciosa, responsável pelo roubo de dinheiro. Por isso, nosso sistema de nomeação não definiu o Lurk como um banking trojan – a ordem de pagamento ainda não estava lá.

Também descobrimos que o Lurk evitava deixar qualquer rastro no disco rígido, trabalhando apenas na memória RAM do computador infectado. Isso o tornou ainda mais difícil de rastrear. Os criadores do Lurk também usavam criptografia aqui e ali para favorecer a ocultação. Seusservidores de comando e controle eram hospedados em domínios registrados com dados de registro falsos. O software, tanto o próprio Lurk quanto as ordens de pagamento maliciosas, mudavam constantemente, sendo moldados especificamente de um banco para o outro.

Os criadores do Lurk foram cuidadosos -deve existir um time de profissionais por trás de um malware com tal complexidade. Ainda assim, profissionais não passam de pessoas, e cometem erros. Esses enganos nos forneceram as informações que permitiram achar os autores.

No fim, o Lurk foi criado e era mantido por um grupo de 15 pessoas,embora na época em que as atividades foram cessadas, esse número havia crescido para 40. Eles tinham dois projetos: o malware em si e a botnet usada para sua distribuição. Cada projeto possuía sua própria equipe.

Um grupo de programadores desenvolveram o Lurk, e um grupo de testers verificava sua performance em ambientes diferentes. Já com a botnet trabalhavam administradores, operadores, um gerente de fluxo de caixa, entre outros. Mulas coletavam dinheiro de ATMs, e um gerente coletava o dinheiro deles.

A maioria dos envolvidos eram trabalhadores assalariados. Para atraí-los o Lurk postava anúncios de vagas de emprego em sites de emprego, prometendo trabalho a distância com salário atrativo. Durante a entrevista de emprego, o recrutador questionava se o candidato possuía um senso de moral forte. Os que respondiam que sim, não conseguiam o emprego.

Desenvolver o Lurk e manter a botnet requeria não só muita gente, mas também infraestrutura cara que incluía servidores VPNs e outras ferramentas. Depois de alguns anos em atividade, a equipe do Lurk parecia o corpo de funcionários de uma empresa de TI de médio porte.  E como em muitas empresas, foi tomada a decisão de diversificar suas atividades.

O cibercriminosos por trás do Lurk também são os responsáveis pela criação do Angler, ou XXX – um dos exploit kits mais sofisticados até hoje. No início, seu objetivo era levar o Lurk às vítimas, contudo, os criadores decidiram vender o Angler para terceiros. O status dos criminosos por trás do Lurk foi elevado no mundo do cibercrime russo devido ao seu sucesso e invencibilidade aparente, o que resultou em uma melhoria nas vendas do Angler no mercado negro.

O Angler se tornou bem popular entre cibercriminosos. Por exemplo, ele foi usado para distribuir os ransomwares CryptXXX e TeslaCrypt.

Entretanto, no momento que começaram a vender o Angler, os dias do grupo já estavam contados. A polícia russa, em parceria com a KasperskyLab, havia coletado evidências suficientes para prender os suspeitos. Em junho de 2016, a atividade do Lurk parou, e logo o Angler teve o mesmo destino. Os cibercriminosos estavam certos até o final de que não seriam pegos, por conta das diversas precauções que tomaram.

Essas precauções foram suficientes por um tempo, mas até cibercriminosos espertos são humanos. Cedo ou tarde, eles escorregam e cometem erros que possibilitam que um bom time de investigadores os encontre. Normalmente, leva tempo e muito esforço, mas é assim que se faz justiça no mundo virtual.