Nas sombras: a perseguição aos atacantes de ransomware é perfilada pela BTW Media porque evidências publicadas a vinculam à infraestrutura da internet, governança, dependências operacionais ou visibilidade de mercado.
Nas sombras: a perseguição aos atacantes de ransomware é rastreada como uma instituição de infraestrutura da internet dentro do ecossistema de infraestrutura da internet.
Sinais de fontes públicas suportam monitoramento de médio impacto para visibilidade de infraestrutura e análise de dependências.
Guia de pontuação de confiança
Várias fontes públicas
- Os autores de ransomware ocultam sua identidade por trás de camadas de criptografia, VPNs e redes Tor, o que dificulta os esforços de identificação.
- As diferenças entre os quadros jurídicos, os protocolos diplomáticos e os procedimentos de extradição de um país para outro dificultam uma colaboração fluida entre os órgãos de repressão.
- Os atacantes de ransomware usam táticas sofisticadas, incluindo exploits de dia zero e malwares polimórficos, para escapar da detecção.
Os ataques de ransomware se tornaram uma ameaça onipresente no cenário digital atual, atingindo indivíduos, empresas e entidades governamentais com consequências devastadoras. Apesar dos esforços das autoridades e especialistas em segurança cibernética para combater esses crimes cibernéticos, capturar os autores de ransomware continua sendo um grande desafio.
O que é um ransomware?
Ransomware, uma forma de software malicioso, é projetado para roubar e criptografar arquivos, dados sensíveis ou informações pessoais identificáveis (PII), tornando-os inacessíveis às vítimas a menos que um resgate seja pago. Explorando táticas de extorsão, os autores de ransomware geralmente visam indivíduos ou organizações com medidas de segurança laxas ou vulnerabilidades não corrigidas, injetando software malicioso em seus computadores ou dispositivos móveis para executar a carga do ransomware.
Recuperar arquivos criptografados sem a chave de descriptografia é extremamente difícil, resultando em sérias consequências para as empresas que dependem de dados criptografados para suas operações diárias. O não cumprimento das demandas de resgate dentro de um prazo estipulado pode resultar na perda permanente de arquivos ou na sua exposição pública.
Atualmente, muitos cibercriminosos exigem criptomoedas como Bitcoin para pagamentos de resgate, aproveitando sua natureza descentralizada para ocultar transações financeiras. Apesar das dificuldades em rastrear pagamentos de resgate na blockchain, isso ainda é possível.
Leia também:5 principais tipos de ataques de ransomware
Por que é tão difícil capturar os autores de ransomware?
Os atacantes de ransomware frequentemente operam anonimamente, ocultando sua identidade por trás de camadas de criptografia e tecnologias de anonimato, como redes privadas virtuais (VPNs) e redes Tor. O uso de criptomoedas para pagamentos de resgate adiciona uma camada extra de anonimato, dificultando o rastreamento de transações financeiras e a identificação dos autores.
Ataques de ransomware geralmente se originam de jurisdições estrangeiras, o que complica o processo de investigação devido a desafios jurisdicionais internacionais. Obstáculos legais, protocolos diplomáticos e diferenças entre os quadros jurídicos dos países dificultam a extradição de suspeitos e a coordenação entre os órgãos de repressão.
Os atacantes de ransomware usam táticas sofisticadas para escapar da detecção, incluindo exploits de dia zero, malwares polimórficos e técnicas de engenharia social. Métodos avançados de criptografia dificultam que especialistas em segurança cibernética descriptografem arquivos ou identifiquem vulnerabilidades no código malicioso, prolongando o processo de investigação.
Leia também:Consequências a serem conhecidas dos ataques de ransomware
Os autores de ransomware são presos?
A Europol, em colaboração com agências internacionais de combate ao crime, desmantelou uma rede de cibercriminosos responsável por numerosos ataques de ransomware desde 2019, visando mais de 1.800 vítimas em 71 países. Após uma investigação de dois anos, em 2021, batidas na Ucrânia e na Suíça tiveram como alvo 12 pessoas associadas a esses ataques. Os criminosos, conhecidos por visar grandes empresas, usavam cepas de ransomware como LockerGoga, MegaCortex e Dharma, além de malware como TrickBot e ferramentas de pós-exploração para escapar da detecção e explorar vulnerabilidades em redes de computadores.
A Europol apreendeu $52.000 em dinheiro e cinco veículos de luxo pertencentes ao grupo.
No final de 2021, oDepartamento de Justiça dos Estados Unidostomou medidas contra dois nacionais estrangeiros envolvidos na implantação do ransomware Sodinokibi/REvil, acusando-os de realizar ataques contra empresas e entidades governamentais. Yaroslav Vasinskyi, um nacional ucraniano de 22 anos, foi acusado de realizar ataques de ransomware, incluindo o ataque à Kaseya em julho de 2021.
Além disso, $6,1 milhões em fundos relacionados a pagamentos de resgate recebidos por Yevgeniy Polyanin, um nacional russo de 28 anos, foram apreendidos. Ambos os acusados enfrentam acusações de conspiração para cometer fraude, danos a computadores protegidos e lavagem de dinheiro. Vasinskyi foi preso na Polônia enquanto aguarda extradição para os Estados Unidos, enquanto Polyanin permanece no exterior.
E em maio de 2024, Vasinskyifoi condenado amais de 13 anos de prisão no Texas.
Leia também:As 5 maiores ataques de ransomware da história
Em fevereiro de 2024, um esforço global coordenado das forças policiais levou ao desmantelamento do famoso grupo de ransomware LockBit, coma prisão de dois indivíduose a apreensão de 200 contas de criptomoeda. Liderada pela National Crime Agency (NCA) do Reino Unido, a operação teve como alvo a LockBit, conhecida por fornecer serviços de ransomware a afiliados encarregados de infectar as redes das vítimas.
As polícias polonesa e ucraniana realizaram prisões adicionais como parte da operação. O desmantelamento, denominado "Operação Cronos", envolveu uma coalizão de 10 países e resultou na tomada de controle da infraestrutura da LockBit e na divulgação de dados internos sobre o próprio grupo. A acusação divulgada indicia Artur Sungatov e Ivan Kondratyev por usar o ransomware LockBit para alvejar vítimas em diversos setores em vários países.
Em resumo
- Nome: Nas sombras: a perseguição aos atacantes de ransomware
- Base: América do Norte
- Foco do perfil:
O que faz
- Registros públicos apoiam o monitoramento de seu papel, serviços e relacionamentos-chave.
Por que isso importa
- Sinais de fontes públicas suportam monitoramento de médio impacto para visibilidade de infraestrutura e análise de dependências.
- Criticidade operacional: Médio
- Horizonte temporal: Próximo trimestre
O que assistir
- O monitoramento foca na continuidade verificada do serviço, nas mudanças de governança e nos sinais de relacionamento.
Acompanhe atualizações verificadas de fontes, mudanças de função e evidências públicas atuais.
Sinais de fontes públicas suportam monitoramento de médio impacto para visibilidade de infraestrutura e análise de dependências.
A relevância de longo prazo depende de mudanças verificadas nas operações, políticas e relacionamentos.
Briefing para Membros
Contexto de Perfil mais Aprofundado
Faça login com o nível de associação correto para desbloquear o briefing completo e as notas de origem.
Apenas para Strategic Circle
Strategic Circle
Aberto a todos os leitores. Desbloqueie Briefings de Perfil após se inscrever e fazer login.
Junte-se ao Strategic CircleSomente para Leadership Alliance
Leadership Alliance
Para proprietários e gestores qualificados de ativos de IP; faça login para desbloquear os briefings da Leadership Alliance.
Junte-se ao Leadership Alliance
