Governo federal desmantela gangue de ransomware Radar/Dispossessor da liga secundária
O grupo de ransomware Dispossessor é o mais recente a entrar no cemitério do crime cibernético, com o governo federal orgulhosamente reivindicando a derrubada.
Grupos de ransomware normalmente têm blogs de vazamento onde os dados de suas vítimas são postados e este caso não é diferente. O blog de vazamento existia até esta semana, mas era simplesmente chamado de “Dados Vazados” em vez de ser marcado de acordo com o nome do grupo.
O FBI disse que derrubou o grupo “Radar/Dispossessor”. Para os não iniciados, a barra ali pode levantar questões. Não é um grupo que atende por dois nomes, na verdade são dois grupos que operam como duas unidades distintas, mas compartilham o trabalho do projeto.
O grupo é composto por duas operações de tred-teaming separadas – Radar e Dispossesor. Indivíduos diferentes compõem os dois grupos e ambos trabalham nos mesmos ataques, como o líder disse em um recente entrevista.
O governo federal diz que a coalizão Radar/Dispossessor surgiu em agosto de 2023, mas o porta-voz da operação disse que ela realmente começou há cerca de três anos.
No entanto, os dois grupos têm de fato um elemento de separação. De acordo com a coalizão Página do GitHuba equipe Dispossessor era uma antiga afiliada da LockBit que expandiu sua própria operação de ransomware quase imediatamente após a interrupção da LockBit em fevereiro.
Devido a isso, muitos pesquisadores de segurança cibernética rastreiam o grupo apenas como Dispossessor, mas o FBI o reconheceu como o nome da coalizão.
É uma operação de ransomware de liga relativamente menor. Registrou apenas 43 vítimas no total — alguns grupos excedem isso em um único mês — e elas eram compostas principalmente por organizações de pequeno e médio porte de vários países da Europa e América do Sul, principalmente, embora Índia, Emirados Árabes Unidos e Canadá também tenham aparecido.
A polícia alemã na Baviera (BLKA) acrescentou que o grupo declarou recentemente sua intenção de se ramificar e começar a atacar os EUA, especificamente hospitais e organizações de saúde.
“O Radar/Dispossessor identificou sistemas de computador vulneráveis, senhas fracas e falta de autenticação de dois fatores para isolar e atacar empresas vítimas”, disse o FBI. “Uma vez que os criminosos obtiveram acesso aos sistemas, eles obtiveram direitos de administrador e facilmente obtiveram acesso aos arquivos. O ransomware real foi então usado para criptografia. Como resultado, as empresas não puderam mais acessar seus próprios dados.
“Uma vez que a empresa foi atacada, se eles não contatassem o criminoso, o grupo então contataria proativamente outros na empresa vítima, seja por e-mail ou telefonema. Os e-mails também incluíam links para plataformas de vídeo nas quais os arquivos roubados anteriormente haviam sido apresentados. Isso sempre foi com o objetivo de aumentando a pressão da chantagem e aumentando a disposição de pagar.”
O BKLA disse que durante o curso da derrubada, a polícia conseguiu alertar quatro empresas na Alemanha que elas estavam prestes a serem atingidas por ransomware. O anúncio não disse explicitamente que esses ataques foram interrompidos, mas esperamos que eles tenham recebido o baixo nível de ostentação.
Autoridades disseram que vários servidores foram “desmontados” nos EUA (3), Reino Unido (3) e Alemanha (18), bem como oito domínios baseados nos EUA e um na Alemanha.
“Ao apreender a infraestrutura de TI, o ZCB, o BLKA e seus parceiros internacionais conseguiram dar um grande golpe contra os criminosos cibernéticos”, disse Guido Limmer, vice-presidente do BLKA.
“Isso mostra claramente que os perpetradores devem esperar ser pegos e responsabilizados a qualquer momento, mesmo no espaço virtual. O desligamento dos servidores salvará inúmeras outras empresas ao redor do mundo de consequências financeiras que podem ser existenciais.”
A pergunta que todos querem respostas quando uma derrubada de cibercrime é anunciada é se alguma prisão foi feita. Sem prisões, as derrubadas raramente são permanentes.
Crucialmente, o FBI não mencionou nenhuma prisão – nem as já feitas nem as planejadas para o futuro próximo. O anúncio também não revelou nada sobre a identidade ou localização do líder, embora eles saibam que o indivíduo atende pelo pseudônimo “Brain”.
O BLKA, no entanto, disse que havia um mandado de prisão para um dos indivíduos suspeitos envolvidos na operação, que se acredita residir na Alemanha. Os outros 11 membros estavam espalhados pelo mundo, vindos de lugares como Quênia, Lituânia, Rússia, Ucrânia e Emirados Árabes Unidos.
O registro entrou em contato com o FBI sobre o aspecto das prisões, mas ainda não recebeu uma resposta.
“A derrubada do Dispossessor pela polícia é interessante, pois eles não parecem ser um grupo de ransomware particularmente impactante ou ativo, então por que ir atrás deles?”, disse Stephen Robinson, analista sênior de inteligência de ameaças da WithSecure. “Quando eles foram lançados, eles foram descritos como simplesmente repostando vítimas do LockBit e, de acordo com as próprias declarações do FBI, eles só são conhecidos por terem realizado cerca de 40 ataques desde que foram lançados em 2023.
“Recentemente, houve uma série de operações de interrupção da aplicação da lei contra criminosos cibernéticos em um curto espaço de tempo. Pode muito bem ser que o objetivo dessa derrubada seja manter esse ritmo operacional e manter a indústria de ransomware interrompida e desequilibrada.
“Em vez de atacar o Dispossessor para combater suas operações especificamente, eles podem ter simplesmente descoberto um erro de segurança dos criminosos e decidido usá-lo em uma operação oportunista.
“Se as operações do Dispossessor forem interrompidas e eles pararem de postar vítimas, isso não reduzirá drasticamente o número total de vítimas de ransomware. No entanto, outra queda em um curto espaço de tempo pode tornar os cibercriminosos mais cautelosos e conscientes dos riscos, e pode até mesmo ajudar a empurrar alguns a sair do setor.”
Dada a escala menor da operação Radar/Dispossessor, as autoridades não perderam tempo com o novo estilo de remoção de ransomware que busca envergonhar e desacreditar completamente a reputação do grupo. para LockBit.
A página inicial exibida no blog de vazamento do Radar/Dispossessor – Clique para ampliar
Em vez disso, só obtivemos o método mais antigo de remoção: a página inicial usual da marca FBI ao visitar o blog de vazamento do grupo, que também incentivava os administradores do site a denunciar os outros via Signal ou um bate-papo Tox.
“Não seja o último a entrar em contato”, diz a página inicial de forma ameaçadora. ®
