Funcionários não sabiam que trabalhavam em escritório cibercriminoso
A imagem cinematográfica de um cibercriminoso sentado à frente do computador, digitando sem parar, é cada vez mais uma ficção. Com a evolução das ofensivas, quadrilhas altamente organizadas chegam a ter escritórios físicos, papeis muito bem definidos para os membros de sua equipe e até mesmo métodos de usar mão de obra legal sem que ela saiba estar envolvida em atividades criminosas. Foi assim com a Conti, uma das principais organizações cibercriminosas dos tempos recentes, que ruiu não diante das autoridades, mas da política.
O modus operandi era exatamente o mesmo de uma empresa, mas aqui, em vez de produtos ou negócios, estamos falando de ransomware e ataques contra governos como os da Irlanda e Nova Zelândia, além de dezenas de grandes companhias. “O Conti funcionava como qualquer outra startup de tecnologia”, explica Maya Horowitz, vice-presidente de pesquisas da Check Point, que apresentou a estrutura da quadrilha durante um painel no evento CPX 360, realizado na última semana.
De acordo com ela, a organização ia além dos setores de desenvolvimento de software, onde programadores, especialistas, testadores e até um sistema de atendimento, controle de qualidade e relacionamento com clientes estava operando. “[Na quadrilha], havia departamento de RH, salários, bônus e até um programa de indicação, com pagamentos extras para quem trouxesse um amigo.”
A especialista cita um caso curioso, no qual uma empresa russa de recursos humanos chegou a ser comprometida, mas não para que seus dados fossem travados em busca de resgate. Os bandidos estavam procurando especialistas que poderiam trabalhar lado a lado em ataques — mesmo que não soubessem disso.
“Os candidatos em potencial eram contatados pelo Telegram ou Jabber. Alguns deles nem mesmo sabiam fazer parte da operação de um grupo de ameaças, pois era pedido que escrevessem códigos bastante específicos e supostamente inofensivos””, explicou Horowitz, em entrevista ao Canaltech. “Quando percebiam que o negócio era ilegal, seus salários eram aumentavam como forma de incentivo.”
Sites legítimos de buscas por vagas de emprego também eram utilizados, enquanto os membros-chave do Conti falavam em projetos futuros que poderiam ou não estar associados com as atividades ilegais, de acordo com o candidato ou funcionário com quem conversavam. Planos de abertura de uma rede social focada em criminosos digitais, com direito à contratação de designers para trabalhar o visual da plataforma, e um câmbio de criptomoedas com ativos financeiros próprios estavam entre as iniciativas do bando.
Enquanto isso, na organização interna, funcionários recebiam bônus por descobertas e códigos bem desenvolvidos, além de multas por má performance ou comportamentos indesejados. De acordo com a Check Point, havia também planos de carreira e parâmetros para retenção de trabalhadores, bem como uma cultura corporativa bem característica de modelos tradicionais de gestão, só que usados no cibercrime.
Guerra real encerrou operações digitais do Conti
Tudo veio abaixo no início do ano passado. Quando a quadrilha demonstrou seu apoio público à Rússia no contexto da guerra contra a Ucrânia, foram vazados códigos-fonte de ransomware, detalhes de ferramentas ofensivas e, principalmente, conversas de chat e e-mails que revelaram a identidade de muitos de seus membros e, também, toda sua estrutura interna.
Em meio a falas sobre ataques governamentais, negociações de resgate e outros elementos do tipo, chega a ser curioso encontrar, também, papos sobre a renovação do escritório físico da quadrilha ou valores relacionados a contas de energia ou serviços de troca ou pintura de portas. Acima de tudo, esse aspecto demonstrava não só uma dinâmica fora do comum para grupos assim, mas também poderia exibir certo conforto em atuar.
Segundo Horowitz, o fato de este ter sido um dos maiores grupos cibercriminosos não necessariamente aumenta o rastro a ser seguido pelas autoridades, com quadrilhas que se encontram na dark web e trocam informações de maneira anônima, tendo exposição semelhantes, sejam organizações pequenas ou gigantes. “[O uso de escritórios pelo Conti] pode dar mais oportunidades de os rastrear e obviamente significa que os membros se conhecem”, argumenta.
Tal aspecto foi um dos responsáveis pela derrocada do grupo. Após o vazamento das informações, o governo dos Estados Unidos chegou a oferecer uma recompensa de US$ 10 milhões, ou cerca de R$ 52 milhões, para quem entregasse informações sobre os líderes do Conti. “Isso, claro, não significou que seus membros passaram a fazer trabalhos de caridade, eles simplesmente se uniram a outros grupos, como Hive. Hoje, não há razão para que [os membros originais] se reagrupem”, completa Horowitz.