FBI alerta sobre grupo cibercriminoso OnePercent

A Agência Federal de Investigações (Federal Bureau of Investigations – FBI) dos Estados Unidos divulgou em agosto um comunicado público que detalha o modus operandi de um grupo cibercriminoso autodenominado OnePercent.

Segundo o FBI, o grupo está ativo desde, pelo menos, novembro de 2020. Membros do OnePercent criptografam dados das redes e deixam um aviso afirmando a vítima deve entrar em contato com o grupo no TOR. Se a vítima não se comunica em uma semana após a invasão, o grupo envia e-mails e faz telefonemas informando que os dados serão vazados.

Em seguida, caso o resgate não seja pago rapidamente, o OnePercent ameaça liberar parte dos dados roubados (1%, daí o nome do grupo) em vários sites da clearnet. E se, ao final,  o pagamento não for feito integralmente após o vazamento parcial, o grupo ameaça vender os dados ao Sodinokibi Group2 para serem publicado em um leilão.

De acordo com o FBI, o grupo OnePercent tem acesso não autorizado às redes das vítimas por meio de e-mails de phishing com um arquivo ZIP mal-intencionado. Esse arquivo carrega um documento Word ou Excel com macros contaminadas que infectam o sistema da vítima com o cavalo de Troia bancário IcedID que, por sua vez, instala e executa o software Cobalt Strike na rede para que os invasores possam se mover lateralmente por outros sistemas. O arquivo rclone é usado para roubar os dados da vítima. E os hackers costumam se manter dentro das redes por cerca de um mês antes de instalar o ransomware.

Ainda que o FBI não tenha classificado especificamente o grupo como um afiliado de ransomware, fontes na área de cibersegurança disseram ao site The Record que o OnePercent mantém uma colaboração de longa data com os criadores e operadores do ransomware REvil e também tem trabalhado com operações Maze e Egregor.

Por exemplo, vítimas que não pagaram o resgate acabaram no The REvil Happy Blog, segundo Bill Siegel, fundador e CEO da empresa de segurança Coveware. Além disso, os nomes de domínio incluídos no comunicado do FBI que foram usados ​​pelo OnePercent no passado para hospedar o cavalo de Troia IcedID também estão vinculados a ataques ransomware que instalaram cepas Maze e Egregor, de acordo com um relatório da FireEye.

O que fica claro a cada incidente é que quase todos esses ataques ransomware são realizados por terceiros que alugam acesso a um RaaS (Ransomware as a Service) e não pelos próprios criadores da praga virtual. Já os grupos de afiliados pulam de uma plataforma RaaS para outra.

O FBI não comentou se o grupo OnePercent ainda está ativo atualmente.

Existe um cartel de ransomware?

Desenvolvedora do ransomware Maze, eventualmente usado pelo OnePercent, a gangue Twisted Spider está por trás de ataques que acabaram recentemente em grandes prejuízos para vítimas no mundo empresarial. O grupo pode ter sido fundador de um cartel em junho de 2020,  afirma a empresa de cibersegurança Analyst1.

Por conta disso, a Analyst1 realizou um estudo para avaliar se realmente existe um cartel de ransomware. Passou um tempo vasculhando mercados criminosos para pesquisar e analisar organizações criminosas dentro de um suposto cartel. Foram avaliados ferramentas e malware usados pelos grupos e rastreadas as transações em bitcoins.

Observou-se que é prática comum uma gangue roubar dados e passá-los para que outra gangue publique-os e negocie com as vítimas. Os invasores também estão automatizando seus ataques cada vez mais, contando com recursos de automação compartilhados para que a invasão seja conduzida praticamente sem interação humana. Como resultado, as gangues estão arrecadando coletivamente centenas de milhões de dólares em operações ransomware e extorsão.

E as gangues estão reinvestindo os lucros obtidos com os resgates para se desenvolverem ainda mais, tanto em termos de tática quanto de agressividade do malware, que é atualizado regularmente para agregar novos recursos sofisticados.

Segundo o estudo, o suposto cartel é composto atualmente por quatro gangues de ransomware: Twisted Spider, Viking Spider, Wizard Spider e Lockbit Gang.

Esse grupo surgiu em maio de 2020, embora a Twisted Spider tenha iniciado suas operações ransomware quase um ano antes, em agosto de 2019. A gangue desenvolveu um ransomware chamado Maze que foi usado em seus ataques de maio de 2019 a novembro de 2020. Em seguida, surgiu o ransomware Egregor que é usado até os dias atuais. No entanto, cada campanha utiliza seus próprios malware e infraestruturas, segundo o estudo.

“Desde o início, o grupo utilizou o ransomware Egregor/Maze para extorquir, pelo menos, US$  75 milhões de empresas do setor privado e órgãos governamentais. Acreditamos que esse número seja muito maior, mas podemos avaliar apenas os resgates reconhecidamente pagos. Muitas vítimas não relatam publicamente quando pagam resgates”, destaca o estudo da Analyst1.

Em novembro de 2020, a Twisted Spider, gangue que deu início ao suposto cartel, anunciou que estava encerrando suas operações. Nessa ocasião, também afirmou que tal cartel nunca existiu. Em seu último comunicado à imprensa (sim, essas gangues dão entrevistas, divulgam comunicados à imprensa e publicam anúncios nas mídias sociais), a Twisted Spider afirmou que o cartel era apenas uma realidade nas mentes dos jornalistas.

A Analyst1 encontrou evidências de que as gangues seguem trabalhando em conjunto e compartilhando recursos para extorquir vítimas. No entanto, o estudo conclui que esse grupo não pode ser considerado genuinamente um cartel, mas um coletivo de gangues que eventualmente trabalha em conjunto em operações ransomware. A participação nos lucros é um importante elemento dos cartéis e parece não estar presente nesse grupo que pratica ataques ransomware.

Foram pesquisadas todas as carteiras de bitcoins conhecidas e as transações associadas as gangues em questão. Seguindo a trilha do dinheiro, foi possível notar vítimas pagando uma gangue que, por sua vez, pagou seus afiliados, mas não se encontrou nenhuma evidência de que os lucros eram divididos.

Pode ser que as gangues criaram a fachada de cartel para parecer maior e mais poderosa e assim intimidar as vítimas. A verdade é que, cartel ou não, as gangues de ransomware continuarão a trabalhar umas com as outras, compartilhando táticas e recursos para se tornarem mais sofisticadas e perigosas. A Analyst1 acredita especificamente que esses grupos concentrarão os esforços no desenvolvimento de métodos para automatizar os ataques. Consequentemente, a necessidade de hackers afiliados diminuirá, e o volume geral de ataques crescerá.