O grupo de hackers ao qual é atribuída a culpa pelo ataque com ransomware realizado no final de semana contra o oleoduto da Colonial Pipeline insistiu em que seu único interesse era ganhar dinheiro, e lamentou ter “criado problemas para a sociedade”.
Em comunicado, o grupo criminoso conhecido como DarkSide se declarou apolítico e tentou desviar a culpa pelo ataque para parceiros que teriam utilizado sua tecnologia de ransomware.
O FBI identificou na segunda-feira (10) o DarkSide como responsável pelo ataque de hackers em escala maciça que tomou o controle de um importante oleoduto nos Estados Unidos por três dias, ameaçando causar alta nos preços do combustível e forçando o governo americano a invocar seus poderes de emergência para manter o fluxo de combustíveis.
"O FBI confirma que o ransomware do DarkSide foi responsável por comprometer as redes da Colonial Pipeline", anunciou a agência em comunicado. "Continuamos a trabalhar com a companhia e nossos parceiros no governo para investigar o ocorrido."
Ataques de ransomware são operações de hackers que levam à tomada de controle do software ou dos sistemas de dados de uma organização, impedindo o acesso dos proprietários a eles, por meio de um bloqueio cifrado, até que um pagamento seja feito.
"Nosso objetivo é ganhar dinheiro e não criar problemas para a sociedade", disse o Colonial Pipeline, acrescentando que verificaria "cada companhia que nossos parceiros desejem bloquear criptograficamente a fim de evitar consequências sociais, no futuro".
O DarkSide emergiu como uma das principais organizações de ransomware em agosto do ano passado, e acredita-se que seja dirigido da Rússia, por uma equipe experiente de criminosos cibernéticos.
A CrowdStrike, uma empresa de segurança na computação do Vale do Silício, identificou as origens do DarkSide em um grupo de hackers criminosos conhecido como Carbon Spider, que “reformulou dramaticamente suas operações” no ano passado a fim de se concentrar no ramo do ransomware, que cresce rapidamente.
"Somos um produto novo no mercado, mas isso não significa que não tenhamos experiência ou que tenhamos surgido do nada", havia afirmado o grupo em comunicados anteriores.
Brett Callow, analista da Emsisoft, outra empresa de segurança na computação, disse que “o DarkSide não come na Rússia. Verifica a linguagem usada pelo sistema e, se for o idioma o russo, abandona o sistema sem criptografar o acesso”.
Ele acrescentou que o grupo oferece seus serviços aos interessados na dark web. "O DarkSide é uma organização que opera ‘ransomware’ como serviço. Presumo que o ataque à Colonial tenha sido realizado por uma organização afiliada e que o grupo tenha ficado preocupado com o nível de atenção que atraiu."
Em um sinal da profissionalização do ransomware, o DarkSide opera uma assessoria de imprensa e afirma adotar uma abordagem ética na escolha de seus alvos.
O site do DarkSide afirma que “com base em nossos princípios”, não executará ataques contra instituições médicas como hospitais, casas de repouso ou desenvolvedores de vacinas; provedores de serviços funerários; escolas e universidades; organizações sem fins lucrativos; e organizações governamentais.
Isso contrasta com o restante do setor de ransomware, para quem empresas da área de saúde e o setor público estão entre os principais alvos. A Colonial Pipeline é uma empresa de capital fechado controlada por investidores que incluem Shell, KKR e Koch Capital.
A Kaspersky, uma empresa de segurança na computação, disse que o DarkSide tinha por objetivo “gerar o maior agito possível online”.
“Mais atenção da mídia levará a um medo mais generalizado do DarkSide, o que pode representar uma chance maior de que a próxima vítima opte por pagar, em lugar de causar problemas”, afirmou Roman Dedenok, pesquisador da Kaspersky, em um post de blog recente.
Os alvos anteriores da organização incluem o grupo imobiliário Brookfield, a Discountcar.com, subsidiária canadense do grupo de locação de automóveis Enterprise, e a CompuCom, fornecedora de serviços de informática americana controlada pela mesma companhia que controla o grupo de varejo Office Depot.
A Arete, que fornece serviços de resposta imediata a vítimas de crimes cibernéticos, descobriu que o DarkSide costuma tomar por alvos empresas de serviços profissionais e do ramo industrial, com pedidos de resgate cujo valor varia de US$ 3 milhões a US$ 10 milhões, ainda que o site Bleeping Computer, de notícias sobre segurança na computação, tenha encontrado indícios de pagamentos de resgate em valores mais baixos, na casa das centenas de milhares de dólares.
Em entrevista por email com o blog de segurança DataBreaches.net, um representante do DarkSide que se identificou como “DarkSupp” disse que a organização pesquisava quanto seus alvos seriam capazes de pagar –por exemplo, ao avaliar sua cobertura de seguros– antes de decidir o valor de resgate a pedir.
“Só atacamos companhias capazes de pagar a quantia solicitada”, o DarkSide havia declarado anteriormente. “Não queremos matar nosso negócio”.
De acordo com imagens de tela de uma vítima, publicadas pelo Bleeping Computer, o DarkSide envia a cada alvo uma lista detalhada de instruções, sob o título “Welcome to Dark”.
Detalhes específicos e amostras dos dados roubados são apresentados e as vítimas são alertadas de que as informações serão publicadas online por pelo menos seis meses caso elas se recusem a pagar. Essa técnica de impedir que as vítimas acessem seus sistemas e ao mesmo tempo ameaçar embaraçá-las ao divulgar publicamente os dados roubados é conhecida como “dupla extorsão”.
Os hackers do DarkSide também buscam garantir às vítimas que respeitarão as regras que impõem, declarando que “damos valor à nossa reputação. Se não fizermos nosso trabalho e cumprirmos nossas obrigações, ninguém pagará”. A organização chega a oferecer assistência técnica, “em caso de problemas” no uso do sistema de remoção de criptografia que as vítimas recebem ao pagar.
O número de ataques de ransomware cresceu em 62% no ano passado, de acordo com a SonicWall, que desenvolve firewalls, e o total inclui mais de 200 milhões de ações nos Estados Unidos. Isso foi propelido em parte pela pandemia, quando empresas forçadas a abandonar o uso de escritórios enfrentaram dificuldades para proteger as comunicações de seus empregados que estavam trabalhando remotamente, e em parte pela ascensão do bitcoin, a moeda na qual muito hackers exigem pagamento.
Uma recente pesquisa da seguradora Hiscox constatou que mais de metade das vítimas de “ransomware” pagam.
Financial Times, tradução de Paulo Migliacci
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.