BlackMatter testa limites de uma suposta ética hacker

Uma cooperativa agrícola no estado de Iowa, grande produtora de grãos dos Estados Unidos, há alguns dias foi vítima de um ataque ransomware cujos impactos podem ter sido piores do que o do Colonial Pipeline em maio. O responsável pela invasão à NEW Cooperative foi o grupo BlackMatter, que parece ter ligações ou ser uma nova marca do DarkSide, justamente a gangue envolvida no caso do oleoduto em maio. O pedido de resgate foi de US$ 5,9 milhões para não vazar dados roubados e fornecer um ferramenta de descriptografia.

Em mensagens trocadas com a Bloomberg News, o BlackMatter afirma operar segundo regras que excluem hospitais e setores de defesa e governamental de seus alvos e que o ataque à cooperativa não violou essa suposta ética nem ignorou a conversa entre o presidente norte-americano Joe Biden e o dirigente russo Vladimir Putin que buscou estabelecer limites, principalmente deixando de fora dos ataques setores críticos para os Estados Unidos. O argumento do grupo BlackMatter, que se expressa em russo e cujos códigos-fonte também estão em russo, foi justamente que a atividade agrícola dessa cooperativa não poderia ser considerada crítica.

No entanto, em captura de telas das negociações entre o grupo e a cooperativa publicada no Twitter, o porta-voz da cooperativa sugere que o grupo de ransomware avaliou mal a escala dos impactos do ataque na cadeia de suprimento, pois levou à interrupção do fornecimento de grãos, carne de porco e frango.

“Os impactos desse ataque provavelmente serão muito piores do que os di ataque ao oleoduto para contextualizar, e não temos como controlar isso devido à interrupção que já foi causada”, disse um representante da NEW Cooperative aos autores da ameaça na conversa de negociação. “Ninguém vai lhe dar descriptografadores de graça, levante dinheiro”, respondeu o BlackMatter.

“O BlackMatter afirmou que a cooperativa está fora dos limites estabelecidos pelo presidente. Biden, mas esses hackers já operam fora dos limites da lei, então por que obedeceriam às novas regras repentinamente? Se essa nova invasão tiver relação com o aviso dos Estados Unidos, então pode ser um indicativo de novos ataques semelhantes”, comenta Allan Liska, analista sênior da empresa de cibersegurança Recorded Future.

A NEW Cooperative afirmou que está trabalhando para criar soluções alternativas para manter o fornecimento de ração enquanto os sistemas estiverem desligados, segundo disse à Bloomberg uma pessoa familiarizada com o assunto. Com sede em Fort Dodge, a cooperativa é  uma das principais compradores das safras dos agricultores associados. Também distribui combustível e produtos químicos agrícolas.

Quem é BlackMatter?

Surgido no final de julho, o BlackMatter se apresenta como um novo Ransomware-as-a-Service (RaaS) que veio preencher o vazio deixado pelos grupos DarkSide e REvil, adotando as melhores ferramentas e técnicas de cada um deles, bem como do LockBit 2.0.

O grupo de afiliados de ransomware DarkSide foi apontado com responsável pela interrupção temporária das atividades do Colonial Pipeline em maio, fato que levou à escassez de fornecimento de combustível e consequente alta de preços nos Estados Unidos. A gangue anunciou que estava encerrando as operações depois que supostamente seus servidores haviam sido apreendidos e que suas carteiras de criptomoedas, usadas para pagar afiliados, haviam sido esvaziadas.

A mensagem do DarkSide inclui passagens aparentemente escritas por um líder da plataforma REvil, dizendo que o programa RaaS estava introduzindo novas restrições aos tipos de organizações que poderia ser atacadas. Deveriam ser excluídas dos  alvos, por exemplo, instituições de saúde e educacionais e órgãos governamentais de qualquer país. Os afiliados também deveriam pedir aprovação antes de atacar as vítimas.

Em uma blog sobre o encerramento das atividades do DarkSide, a empresa de inteligência cibernética Intel 471 disse que acredita que a atitude dos grupos de ransomware poderia estar diretamente relacionada à reação aos ataques coberta pela mídia.

Será, então, BlackMatter apenas uma nova marca dos grupos após um recuo estratégico? Ou então uma gangue cibernética que preencheu o espaço deixado por eles? Em qualquer um dos casos, esperemos os próximos capítulos para ver se os limites impostos pelos Estados Unidos serão respeitados ou não.