O mapa mundial da vacinação contra a covid

Evil Corp. invade redes de empresas nos EUA e ameaça as eleições

O grupo criminoso russo encontrou um novo alvo: os americanos em home office. O ransomware permite que os hackers exijam milhões de dólares das empresas para ter acesso aos seus próprios dados restaurados.
Livraria Indigital
Com informações do 
The New York Times
Imagem: JMiks, Shutterstock

Um grupo de hackers que se autodenomina Evil Corp. apareceu em redes corporativas com sofisticado ransomware. As autoridades americanas temem que a infraestrutura eleitoral possa ser a próxima.

Um grupo russo de ransomware cujos líderes foram indiciados pelo Departamento de Justiça em dezembro está retaliando o governo dos EUA, muitas das maiores empresas americanas e uma importante organização de notícias, identificando funcionários que trabalham em casa durante a pandemia e tentando entrar em suas redes com malware destinado para prejudicar suas operações.

via GIPHY

Os novos ataques foram identificados nos últimos dias pela Symantec Corporation, uma divisão da Broadcom, uma das muitas empresas que monitora redes corporativas e governamentais.

Em um aviso urgente emitido na noite de quinta-feira, a Symantec informou que hackers russos haviam explorado a mudança nos hábitos de trabalho para hackear redes corporativas com uma velocidade e amplitude nunca antes presenciadas.

O ransomware permite que os hackers exijam milhões de dólares das empresas para ter acesso aos seus próprios dados.

Embora o ransomware tenha sido uma preocupação das autoridades americanas, após ataques devastadores nas cidades de Atlanta e Baltimore e em todo o Texas e Flórida, ele assumiu novas dimensões em um ano eleitoral. O Departamento de Segurança Interna está correndo para endurecer os sistemas de registro de eleitores administrados por cidades e estados, temendo que eles também possam ser congelados e que as listas de eleitores se tornem inacessíveis, em um esforço para tornar um caos a eleição de 3 de novembro.

As empresas de segurança foram acusadas de exagerar, mas o que vimos nas últimas semanas é notável“, disse Eric Chien, diretor técnico da Symantec, conhecido como um dos engenheiros que primeiro identificaram o código Stuxnet que os Estados Unidos e Israel usavam para paralisar as centrífugas nucleares do Irã há uma década. “No momento, trata-se de ganhar dinheiro, mas a infraestrutura que eles estão implantando pode ser usada para eliminar muitos dados – e não apenas nas empresas“.

Eleições 2020

Um aviso do F.B.I. vazado dia 1º de maio dizia que ataques de ransomware contra corporações americanas ameaçam comprometer a infraestrutura das eleições. “O F.B.I. avalia que as infecções por ransomware causadas por meio dos provedores de serviços de internet para as redes do governo estadual e dos EUA provavelmente ameaçarão a disponibilidade de dados em servidores eleitorais interconectados, mesmo que essa não seja a intenção dos atores“, afirma o documento sigiloso.

Um ciberataque no final do ano passado a uma empresa de serviços de Internet da Louisiana permitiu que hackers atacassem a secretária de Estado da Louisiana e nove secretários judiciais na semana anterior às eleições. E no condado de Tillamook, Oregon, em janeiro, as pessoas por trás de um ransomware impediram trabalhadores do registro de eleitores de acessar o sistema enquanto eles preparavam as listas de votação para as primárias de maio.

A Symantec se recusou a citar as empresas que foram os alvos dos hackers russos, citando a confidencialidade da base de clientes. Mas disse que já havia identificado 31, incluindo grandes marcas americanas e empresas da Fortune 500. Não está claro se alguma dessas empresas recebeu ameaças de ransomware, que só ocorreriam se o código malicioso fosse ativado pelos usuários. Chien disse que o aviso foi emitido porque “esses hackers têm uma década de experiência e não estão perdendo tempo com coisas pequenas. Eles estão perseguindo as maiores empresas americanas, e apenas as americanas”.

Mr. Robot

Os hackers se autodenominam “Evil Corp.“, como na série de televisão “Mr. Robot”. Em dezembro, o Departamento de Justiça disse que “estavam envolvidos em crimes cibernéticos em uma escala quase inimaginável“, implantando malware para roubar dezenas de milhões de dólares dos sistemas bancários online. O Departamento do Tesouro impôs sanções a eles e o Departamento de Estado ofereceu US$ 5 milhões por informações que levassem à prisão ou condenação do líder do grupo.

Rússia

A acusação é uma das muitas nos últimos anos contra grupos russos, incluindo agentes de inteligência e a Agência de Pesquisa na Internet, acusados ​​de interferir nas eleições de 2016. Essas acusações foram concebidas como um impedimento. Mas Moscou protegeu os hackers da Evil Corp. da extradição e é improvável que eles sejam julgados nos Estados Unidos. No anúncio de sanções do Departamento do Tesouro, os Estados Unidos alegaram que alguns dos líderes do grupo trabalharam para o F.S.B., o sucessor do K.G.B. soviético.

Maksim Viktorovich Yakubets, ou “aqua”

A acusação de dezembro e as sanções citavam Maksim V. Yakubets, que era denunciado pelo Departamento do Tesouro por “estar trabalhando para o F.S.B russo” há três anos e “encarregado de trabalhar em projetos para o estado russo, incluindo a aquisição de documentos confidenciais por meios cibernéticos e a realização de operações no ciberespaço em seu nome”.

Departamento de Estado dos EUA oferece US$ 5 milhões por Maksim Viktorovich Yakubets. Reprodução.

Embora o ransomware tenha sido uma preocupação das autoridades americanas, a metodologia do ataque sugere que ele foi destinado à era do trabalho em casa, ou home office.

O malware, disse Chien, foi implantado em sites comuns e até em um site de notícias. Mas não infectou todos os computadores usados ​​para fazer compras ou ler sobre os eventos do dia. Em vez disso, o código procurava um sinal de que o computador fazia parte de uma grande rede corporativa ou governamental. Por exemplo, muitas empresas fazem com que seus funcionários usem uma “rede privada virtual“, ou V.P.N., um canal protegido que permite que trabalhadores sentados em seus porões ou sótãos entrem nos sistemas de computadores corporativos como se estivessem no escritório.

Esses ataques não tentam entrar na rede privada“, disse Chien. “Eles apenas a usam para identificar para quem o usuário trabalha“. Em seguida, os sistemas esperam que o trabalhador acesse um site público ou comercial e usam esse momento para infectar o computador. Depois que a máquina é reconectada à rede corporativa, o código é implantado, na esperança de obter acesso aos sistemas corporativos.

Indiciamento pelo F.B.I.

O indiciamento pretendia colocar um fim na atuação da Evil Corp. mas falhou. No mês seguinte à acusação, os hackers da Evil Corp. saíram do mapa, mas retomaram em maio, de acordo com pesquisadores de segurança da Symantec e da Fox-IT, outra empresa de segurança que é uma divisão do NCC Group. No mês passado, eles foram bem-sucedidos em ataques usando ferramentas personalizadas de ransomware.

Os hackers da Evil Corp. conseguiram desativar o antivírus nos sistemas das vítimas e remover sistemas de backup, naquilo que os pesquisadores da Fox-IT disseram ser uma tentativa clara de impedir a capacidade das vítimas de recuperar seus dados e, em alguns casos, impedir “a capacidade de se recuperar”.

Embora a Symantec não tenha dito quanto dinheiro a Evil Corp. estava gerando com os recentes ataques, os pesquisadores da Fox-IT disseram que já tinham visto os hackers russos exigirem mais de US$ 10 milhões para desbloquear dados na rede de uma única vítima.

Nós os vimos aumentar suas demandas de resgate nos últimos anos, para milhões de dólares ao atingirem metas maiores“, disse Maarten van Dantzig, analista de ameaças da Fox-IT. “Eles são o grupo mais profissional que vemos implantando ataques nessa escala hoje“.