Poucas semanas antes que o bando cibernético conhecido como DarkSide atacasse a dona de um importante oleoduto nos Estados Unidos, interrompendo a entrega de gasolina e combustível de aviação por toda a costa leste do país, o grupo pressionou uma pequena editora familiar no centro-oeste.
Trabalhando com um hacker que atendia por Woris, o DarkSide lançou uma série de ataques destinados a bloquear os sites da editora, que atua principalmente com clientes na educação primária, caso ela não pagasse um resgate de US$ 1,75 milhão (R$ 9,14 milhões).
Ele chegou a ameaçar contatar clientes da empresa para avisar falsamente que tinha obtido informação que, segundo o bando, poderia ser usada por pedófilos para fazer carteiras de identidade falsas para entrar nas escolas. Woris achou essa última trama especialmente interessante. "Ri do fundo da alma sobre as identidades vazadas serem usadas por pedófilos", disse ele em russo em uma conversa secreta com o DarkSide obtida pelo New York Times. "Não pensei que fosse assustá-los a esse ponto."
O ataque do DarkSide à dona do oleoduto, Colonial Pipeline, na Geórgia, não apenas projetou o bando no cenário internacional, mas também acendeu um holofote sobre uma indústria criminosa em rápida expansão, baseada principalmente na Rússia, que se transformou de uma técnica de invasão de computadores altamente sofisticada em um processo de linha de montagem. Hoje, até pequenos grupos e hackers com capacidade de computação medíocre podem representar ameaças à segurança nacional.
Antes, os criminosos tinham de fazer jogos psicológicos para convencer as pessoas a entregar senhas de banco e ter conhecimento para extrair dinheiro de contas pessoais seguras. Agora, virtualmente qualquer pessoa pode obter "ransomware" (software de extorsão) e carregá-lo em um sistema de computador comprometido usando truques de tutoriais no YouTube ou com a ajuda de grupos como o DarkSide.
"Qualquer idiota pode ser criminoso cibernético hoje", diz Serguei Pavlovich, que passou dez anos preso na Belarus, sua terra natal, por crimes na internet. "A barreira intelectual para entrar ficou muito baixa."
Uma olhada nas comunicações secretas do DarkSide nos meses que antecederam o ataque na Colonial Pipeline revela uma operação criminosa em ascensão, arrancando milhões de dólares em resgates a cada mês. O DarkSide oferece o que é chamado de "ransomware como serviço", em que um programador de software nocivo cobra uma taxa de chamados afiliados como Woris, que podem não ter as capacidades para realmente criar ransomware, mas são capazes de invadir o sistema de computadores de uma vítima.
Os serviços do DarkSide incluem suporte técnico para hackers, negociação com alvos como a editora, processamento de pagamentos e criação de campanhas de pressão sob medida por meio de chantagem e outros meios, como invasões secundárias para paralisar os sites.
As taxas de usuário do DarkSide funcionavam em escala decrescente: 25% para qualquer resgate abaixo de US$ 500 mil (R$ 2,6 milhões) até 10% para resgates de mais de US$ 5 milhões (R$ 26,1 milhões), segundo a empresa de segurança de computadores FireEye.
Como operação startup, o DarkSide teve de enfrentar problemas crescentes, ao que parece. Na conversa com alguém do suporte ao consumidor do grupo, Woris se queixou de que a plataforma de ransomware era difícil de usar, custando-lhe tempo e dinheiro enquanto ele trabalhava com o DarkSide para extorquir dinheiro da editora americana. "Eu não entendo como fazer negócios na sua plataforma", queixou-se em um diálogo em março. "Estamos gastando muito tempo. E há outras coisas a fazer. Entendo que vocês não dão a mínima. Se não formos nós, outros lhes darão dinheiro. É quantidade, e não qualidade."
O New York Times teve acesso ao "painel de controle" interno que os clientes do DarkSide usavam para organizar e praticar extorsão. A informação foi fornecida por um criminoso por meio de um intermediário. O jornal preserva o nome da empresa envolvida no ataque para evitar represálias dos hackers.
O acesso ao painel do DarkSide ofereceu uma visão extraordinária do funcionamento de um bando que fala russo e se tornou a face do crime cibernético global. Projetado em preto e branco, o painel dá acesso à lista de alvos do DarkSide, além de ter um marcador em tempo real de lucros e uma conexão com o suporte a clientes, com os quais os afiliados podiam montar estratégias para pressionar vítimas.
O painel ainda estava funcionando em 20 de maio, quando um repórter do jornal fez o login, apesar de o DarkSide ter divulgado um comunicado uma semana antes dizendo que estava fechando. Um empregado do suporte ao cliente respondeu quase imediatamente a um pedido de bate-papo enviado da conta de Woris pelo repórter. Mas quando este se identificou como jornalista a conta foi imediatamente bloqueada.
Mesmo antes do ataque ao Colonial Pipeline, o negócio do DarkSide estava pujante. Segundo a firma de cibersegurança Elliptic, que estudou as carteiras de bitcoins do DarkSide, o bando recebeu cerca de US$ 15,5 milhões (R$ 81 milhões) em bitcoins desde outubro de 2020, com mais US$ 75 milhões (R$ 391,8 milhões) indo para afiliados. Os altos lucros para um bando criminoso tão jovem —o DarkSide foi fundado em agosto passado, segundo pesquisadores da indústria de segurança de computadores— salientam como o submundo criminoso em língua russa proliferou nos últimos anos.
Esse crescimento foi permitido pela ascensão de criptomoedas como a bitcoin, que tornaram praticamente obsoleta a necessidade de "mulas" para transportar dinheiro tradicional, que às vezes tinham de contrabandeá-lo por fronteiras físicas. Em apenas alguns anos, segundo especialistas em cibersegurança, o ransomware se tornou um negócio altamente organizado e compartimentalizado.
Há alguns hackers que invadem os sistemas de computador e outros cuja função é assumir o controle deles. Há especialistas em suporte tecnológico e em lavagem de dinheiro. Muitos bandos criminosos têm até porta-vozes oficiais que fazem comunicações com a mídia e contatos.
De muitas maneiras, a estrutura organizacional da indústria russa de ransomware imita franquias como McDonald's ou Hertz, que baixam as barreiras de entrada e permitem a fácil duplicação de práticas comerciais e técnicas comprovadas. O acesso ao painel de controle do DarkSide era a única coisa necessária para montar um negócio como afiliado ao bando e, se desejado, baixar uma versão funcional do ransomware usado no ataque ao oleoduto Colonial.
O New York Times não adquiriu esse software, mas a editora ofereceu uma visão de como é ser vítima de um ataque do DarkSide. A primeira coisa que a vítima vê na tela é uma carta pedindo o resgate, com instruções e ameaças brandas. "Bem-vindo ao DarkSide", diz a carta em inglês, antes de explicar que os computadores e servidores da vítima foram criptografados, e todos os backups, deletados.
Para descriptografar a informação, as vítimas são encaminhadas a um site onde devem inserir uma senha especial. A carta deixa claro que elas podem ligar para uma equipe de suporte técnico se tiverem algum problema. "!!! PERIGO !!! NÃO MODIFIQUE ou tente RECUPERAR arquivos sozinho", diz a carta. "NÃO PODEREMOS RESTAURÁ-LOS!"
O software do DarkSide não apenas trava os sistemas de computação das vítimas, como rouba dados exclusivos, permitindo que os afiliados peçam pagamento para destravar o sistema e também para não divulgar informação sensível da companhia. Na conversa vista pelo jornal, um empregado de apoio ao cliente do DarkSide se gabou a Woris devido ao envolvimento em mais de 300 ataques extorsivos e tentou tranquilizá-lo. "Estamos tão interessados no rendimento quanto vocês", disse o funcionário.
Juntos, eles criaram o plano para pressionar a editora, uma empresa familiar de quase um século com algumas centenas de empregados. As negociações sobre o resgate com o DarkSide duraram 22 dias e foram realizadas por email ou no blog do bando com um hacker ou hackers que falavam inglês precário, disse o porta-voz da companhia. As negociações começaram em março diante da recusa da editora a pagar o resgate de US$ 1,75 milhão (R$ 9,14 milhões). O DarkSide, ao que parece, ficou furioso e ameaçou vazar para a mídia a notícia do ataque extorsivo.
"Ignorar isto é uma estratégia muito ruim para vocês. Vocês não têm muito tempo", escreveu o DarkSide em um email. "Depois de dois dias nós vamos divulgar seu blog ao público e enviar esta notícia para a grande mídia. E todo mundo verá seu vazamento de dados catastrófico."
Apesar da tática forçosa, o DarkSide tinha certa orientação moral. Em uma lista de regras postada no painel, o grupo dizia que qualquer ataque a alvos educacionais, médicos ou do governo era proibido.
Outra regra importante adotada pelo DarkSide, junto com a maioria dos outros grupos cibercriminosos russos, salienta uma realidade sobre o crime digital na era moderna. Qualquer pessoa que viva na Comunidade de Estados Independentes, uma reunião de ex-repúblicas soviéticas, está isenta de ataques.
Especialistas em cibersegurança dizem que a regra "não trabalhe na .ru", uma referência ao sufixo de domínio nacional da Rússia, tornou-se prática habitual na comunidade de hackers de língua russa para evitar envolvimentos com a polícia do país. As autoridades russas deixaram claro que raramente processarão cibercriminosos por ataques extorsivos e outros crimes cibernéticos fora da Rússia.
Em consequência, a Rússia se tornou um polo global de ataques desse tipo, segundo especialistas. A firma de cibersegurança Recorded Future rastreia cerca de 25 grupos de ransomware, dos quais aproximadamente 15 —incluindo os cinco maiores— estariam sediados na Rússia ou em outros locais da antiga União Soviética, disse um especialista em inteligência da firma, Dmitri Smilianets.
Neste mês, a equipe de apoio do DarkSide tentou responder a partes do sistema que foram bloqueadas, o que o grupo atribuiu, sem evidências, à pressão dos EUA. Em um post de 8 de maio, um dia após a divulgação do ataque ao Colonial, a equipe do DarkSide parecia esperar certa simpatia de seus afiliados.
"Agora há a opção de deixar uma gorjeta para o suporte em 'pagamentos'", dizia a postagem. "É opcional, mas o suporte vai ficar contente :)." Dias depois que o FBI identificou publicamente o DarkSide como culpado, Woris, que ainda não tinha obtido o pagamento da editora, procurou o serviço ao consumidor, aparentemente preocupado. "Olá, como vai?", escreveu ele. "Eles os pegaram de mau jeito."
Foi a última comunicação que Woris teve com o DarkSide. Dias depois, surgiu uma mensagem no painel de controle dizendo que o grupo não estava exatamente fechando, como havia dito antes, mas vendendo sua informação para que outros hackers pudessem seguir no lucrativo negócio de ransomware.
"O preço é negociável", escreveu o DarkSide. "Com um programa análogo de parceria, é possível gerar lucros de US$ 5 milhões (R$ 26,1 milhões) mensais."
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.