Nota do Editor: Não se pode negar que o ransomware está atualmente gerando enormes receitas para os cibercriminosos.
Alguns grupos que buscam enriquecer estão ultrapassando agressivamente os limites. Eles estão aumentando suas reivindicações para sete ou oito dígitos, ameaçando publicar dados online se os pagamentos não forem feitos e visando hospitais e outras organizações vulneráveis.
Um desses grupos, conhecido por suas táticas ousadas e lucrativas, é o REvil, também conhecido como Sodinokibi. O grupo fornece ransomware como serviço. Os desenvolvedores vendem malware a parceiros que o usam para bloquear os dados e dispositivos de uma organização.
Além de publicar dados de vítimas na Internet nos casos em que as empresas não atendem aos requisitos, a REvil está chamando a atenção com suas tentativas de extorquir do então presidente Donald Trump e afirma receber US $ 100 milhões em receitas de suas atividades. O grupo tem grandes planos para 2021, de acordo com um porta-voz do REvil, que usa o pseudônimo Desconhecido.
Algumas das afirmações da Unknown, como a existência de afiliados com acesso a sistemas de lançamento de mísseis balísticos e usinas nucleares, parecem incríveis - até que você leia os relatórios que os fazem parecer assustadoramente plausíveis.... A Reord não pode verificar a veracidade dessas declarações. A Unknown conversou recentemente com o analista de ameaças da Recorded Future, Dmitry Smilyants, sobre o uso de ransomware como arma, não interferência na política, experimentação de novas táticas e muito mais. A entrevista foi conduzida em russo, traduzida para o inglês por um tradutor profissional e revisada para maior clareza.
Dmitry Smilyanets: Desconhecido, como você decidiu fazer chantagem?
UNK: Para ser honesto, foi há muito tempo. Desde 2007, quando surgiram winlockers e sms. Mesmo assim, trouxe um bom lucro.
DS: Você depositou $ 1 milhão em um fórum de hackers e mencionou uma receita de $ 100 milhões - visto que recebe pagamentos em criptomoedas, provavelmente tem meio bilhão de dólares hoje. Quanto é o suficiente para fazer você abandonar o ransomware?
UNK:Você contou tudo corretamente. O depósito foi sacado justamente por causa do curso. Para mim, pessoalmente, não há limite de valor. Eu adoro fazer isso e lucrar com isso. Nunca há muito dinheiro, mas sempre existe o risco de não ter dinheiro suficiente. Embora, por falar em anunciantes, alguém pensasse que US $ 50 milhões era o suficiente e se aposentou. No entanto, depois de quatro meses ele voltou - não havia dinheiro suficiente. Pense nisso.
DS: Anteriormente, você disse que continua apolítico e tem motivação puramente financeira. Mas se você decidir que ganhou dinheiro suficiente, seu ponto de vista pode mudar e você decide influenciar a geopolítica?
UNK:Realmente não quero ser moeda de troca. Atacamos a política e nada de bom resultou disso - apenas perdas. Com a atual relação geopolítica, estamos ganhando um bom dinheiro sem qualquer interferência.
DS: O que torna REvil tão especial? O código? Afiliados? Atenção da mídia?
UNK:Acho que tudo funciona junto. Por exemplo, esta é uma entrevista. Parece, por que é necessário afinal? Por outro lado, daremos melhor do que nossos concorrentes. Ideias incomuns, novos métodos e reputação da marca produzem bons resultados. Como eu disse, estamos criando um novo ramo de desenvolvimento de ransomware. Se você olhar para os concorrentes, então, infelizmente, muitos simplesmente copiam nossas idéias e, o mais surpreendente, o estilo do texto de nossas mensagens. Isso é bom - eles tentam mostrar que não são piores do que nós, tentam chegar ao nosso nível e até se esforçam para nos superar em alguma coisa. Por exemplo, com essas versões do Linux e assim por diante. Mas isso é temporário. Claro, também estamos trabalhando nisso, mas com uma ressalva - tudo ficará muito melhor. Portanto, um pouco mais lento.
REvil usa seu "Happy Blog" na darknet para anunciar leilões para vítimas de ransomware não pagos.
JS: Elliptic Curve Cryptography (ECC) foi uma escolha realmente boa [nota do editor: ECC tem um tamanho de chave menor do que o sistema de chave pública baseado em RSA, o que o torna atraente para os afiliados] do que mais você se orgulha, de qual parte do código ? Como você decide quando adicionar novos recursos ao seu código?
DESCONHECIDO: Pesquisa IOCP, conexão reversa emprestada de crabs [carders], proteção do lado do servidor - muitas vantagens, é melhor ler os comentários. Pessoalmente, gosto muito do sistema de criptografia. Acabou quase perfeito.
DS:Fiquei impressionado com a variedade de compactadores e ransomware que encontrei no seu malware. Você está vendendo para outras pessoas? Certa vez, vi um deles sendo usado em uma amostra do malware Maze. Você os está vendendo ou um de seus funcionários foi para um concorrente?
UNK: Os parceiros mudam frequentemente e, por causa disso, existe uma grande variedade.
DS: Pavel Sitnikov disse que você comprou o código GandCrab de Maxim Plakhtiy, isso é verdade?
UNK : É verdade que compramos, mas não sabemos os nomes e coisas assim.
DS: Você acredita que o ransomware é a arma perfeita para a guerra cibernética? Você não tem medo de que um dia comece uma guerra de verdade?
UNK:Sim, essas armas podem ser muito destrutivas. Bem, eu sei que vários afiliados têm acesso a um sistema de lançamento de mísseis balísticos, um a um cruzador da Marinha dos Estados Unidos, um a uma usina nuclear e um a uma fábrica de armas. É perfeitamente possível começar uma guerra. Mas não vale a pena - as consequências são ruins.
DS: Que outras regiões além da CIS [principalmente repúblicas pós-soviéticas] você tenta evitar? Quais organizações nunca pagam?
UNK: Todos os países da CEI, incluindo Geórgia e Ucrânia. Principalmente por causa da geopolítica. Em segundo lugar, por causa das leis. Terceiro, evitamos alguns por causa do patriotismo. Países muito pobres não pagam: Índia, Paquistão, Afeganistão e assim por diante.
DS:Você mencionou anteriormente que você e seus parceiros entendem os riscos de viajar para o exterior e não viajar. Você acha que o "vento da mudança" pode soprar e as agências locais de aplicação da lei prestarão atenção às suas operações?
UNK: Se entrarmos na política, sim. Se olharmos para os países da CEI, então sim. Em todos os outros aspectos, permanecemos neutros.
DS: Os criminosos da velha escola estão causando problemas?
UNK: Não.
DS: Qual é a sua reação normal quando vê uma gangue de extorsionários ou seus afiliados sendo acusados ou presos? Netwalker e Egregor reduziram suas operações após os ataques, como você se sente sobre isso?
UNK:Neutro. Este é um fluxo de trabalho normal. Devido ao fechamento do Maze, aumentamos apenas o número de parceiros. Então, para nós, eu diria que, de certa forma, é positivo.
DS: Qual é o número máximo de afiliados trabalhando com você ao mesmo tempo?
UNK: 60.
JS: Eles estão saindo porque se envolveram com ransomware ou porque começaram a trabalhar com outros programas para obter melhores taxas? Você enfrenta problemas quando um parceiro procura um concorrente?
UNK:Existem duas opções. 30% saem porque ganharam o suficiente. Mas, naturalmente, eles sempre voltam mais cedo ou mais tarde. No segundo caso, sim, eles vão para concorrentes que estão despejando (até 90%, etc.). Claro, isso é desagradável, mas é competição. Isso significa que devemos garantir que as pessoas voltem. Dê a eles o que os outros não dão.
DS: Algumas bandas doam uma porcentagem de seus ganhos para instituições de caridade. Qual a sua opinião sobre isso? Para quem você gostaria de doar um milhão?
UNK: Projetos gratuitos para desenvolver ferramentas de anonimato.
DS: Como sua interação com as organizações de vítimas mudou desde o início da pandemia?
UNK:Muita coisa mudou. A crise se faz sentir, eles não podem pagar as quantias que estavam antes. Exceto para empresas farmacêuticas. Acho que eles deveriam receber mais atenção. Eles estão bem. Precisamos ajudá-los.
DS: Suas operadoras estão visando organizações que possuem seguro cibernético?
UNK: Sim, este é um dos pratos mais deliciosos. Especialmente se você primeiro invadir seguradoras - obtenha sua base de clientes e trabalhe com propósito. E depois de passar pela lista, você pode enfrentar a própria seguradora.
DS: O que você acha dos negociadores de ransomware? É mais fácil lidar com profissionais? Eles ajudam ou complicam a tarefa?
UNK:70% são necessários apenas para baixar o preço. Freqüentemente, eles complicam a tarefa. Bem, por exemplo, a empresa tem receita de US $ 1 bilhão. Eles são extorquidos $ 1 milhão. Um negociador chega e diz: não nos importamos, não daremos mais do que $ 15.000. Reduzindo o preço para $ 900.000. Ele oferece $ 20.000. Bem, então percebemos que falar com ele não tem sentido, e passamos a publicar dados para que os donos da rede o acertem na cabeça por causa dessas negociações. E, claro, depois desses truques, o preço só aumenta. Em vez de US $ 1 milhão, eles pagarão um ano e meio. Ninguém gosta de vendedores ambulantes, especialmente com exibicionistas. Portanto, na maioria das vezes, eles causam mais danos. Eles só ajudam na compra de BTC ou Monero. Tudo o mais é prejudicial.
DS:Você recomenda algum negociador específico para empresas comprometidas ou eles estão procurando um por conta própria? Nem todo mundo tem 100 BTC para comprar dados de volta, e não é fácil obtê-los em um curto espaço de tempo.
UNK: Escrevemos a intermediários decentes para que saibam o propósito e possam estabelecer um diálogo. Damos bons descontos a bons revendedores para que eles obtenham um pequeno lucro e as empresas paguem menos. Quanto ao tempo, sempre podemos alocar tempo adicional. Em geral, se houver um entendimento de que você deve pagar, mas não tanto, encontraremos uma linguagem comum. Mas se recebermos mensagens malucas como “Sem dinheiro” ou “Pagaremos um décimo”, você não tem ninguém para culpar a não ser você mesmo.
Links para ataques REvil são compilados de fontes privadas e clandestinas. Cortesia da Recorded Future.
DS: Você disse que deseja aplicar pressão adicional com DDoS. Quão eficaz é este esquema?
UNK: Não o usamos com frequência, ao contrário das chamadas. Fazer chamadas dá um resultado muito bom. Ligamos para cada alvo, assim como seus parceiros e jornalistas - a pressão aumenta significativamente. E depois disso, se você começar a publicar arquivos, bem, isso é ótimo. Mas acabar com o DDoS está matando a empresa. Literalmente. Acho que vamos enfrentar a acusação de CEOs e / ou fundadores de empresas. OSINT pessoal, intimidação. Acho que essa também será uma opção muito interessante. Mas as vítimas devem entender que quanto mais recursos gastamos antes de o resgate ser pago, mais teremos que pagar.
DS: Conte-me um segredo.
UNK:Quando criança, vasculhei latas de lixo e fumei pontas de cigarro. Caminhei 10 km só para ir à escola. Usei as mesmas roupas por seis meses. Em minha juventude, não comia em um apartamento comunitário por dois ou três dias. Agora sou um milionário.