Os federais cobram 16 russos supostamente amarrados a botnets usadas em ransomware, cyberattacks e espionagem
O ecossistema de hackers na Rússia, mais do que talvez em qualquer outro lugar do mundo, há muito esquenta as linhas entre crimes cibernéticos, cibercare e espionagem patrocinados pelo Estado. Agora um acusação De um grupo de cidadãos russos e a queda de sua botnet ampla oferece o exemplo mais claro em anos de como uma única operação de malware supostamente permitiu as operações de hackers tão variadas quanto o ransomware, os ataques cibernéticos na Ucrânia e a espionagem contra governos estrangeiros.
O Departamento de Justiça dos EUA anunciou hoje acusações criminais hoje contra 16 autoridades de aplicação da lei de indivíduos vinculados a uma operação de malware conhecida como Danabot, que de acordo com um reclamação infectado pelo menos 300.000 máquinas em todo o mundo. O anúncio do Departamento de Justiça das acusações descreve o grupo como “baseado na Rússia” e nomeia dois suspeitos, Aleksandr Stepanov e Artem Aleksandrovich Kalinkin, como morando em Novosibirsk, Rússia. Cinco outros suspeitos são nomeados na acusação, enquanto outros nove são identificados apenas por seus pseudônimos. Além dessas acusações, o Departamento de Justiça diz que o Serviço de Investigação Criminal de Defesa (DCIS) – um braço de investigação criminal do Departamento de Defesa – marcou convulsões da infraestrutura de Danabot em todo o mundo, inclusive nos EUA.
Além de alegar como o Danabot foi usado em hackers criminais com fins lucrativos, a acusação também faz uma reivindicação mais rara-descreve como uma segunda variante do malware que diz ser usada na espionagem contra alvos militares, governamentais e de ONGs. “Malware difundido como Danabot prejudica centenas de milhares de vítimas em todo o mundo, incluindo entidades militares, diplomáticas e governamentais sensíveis, e causa muitos milhões de dólares em perdas”, escreveu o advogado dos EUA Bill Essayli em comunicado.
Desde 2018, a Danabot – descreveu na denúncia criminal como “malware incrivelmente invasivo” – infectou milhões de computadores em todo o mundo, inicialmente como um trojão bancário projetado para roubar diretamente dos proprietários desses PCs com recursos modulares projetados para cartão de crédito e roubo de criptografia. Como seus criadores supostamente o venderam em um modelo de “afiliado” que o disponibilizou a outros grupos de hackers por US $ 3.000 a US $ 4.000 por mês, no entanto, logo foi usado como uma ferramenta para instalar diferentes formas de malware em uma ampla variedade de operações, incluindo ransomware. Seus alvos também se espalharam rapidamente das vítimas iniciais na Ucrânia, Polônia, Itália, Alemanha, Áustria e Austrália para instituições financeiras dos EUA e do Canadá, de acordo com um Análise da operação pela empresa de segurança cibernética Crowdstrike.
Em um ponto de 2021, de acordo com Crowdstrike, o Danabot foi usado em um ataque da cadeia de suprimentos de software que escondeu o malware em uma ferramenta de codificação JavaScript chamada NPM com milhões de downloads semanais. Crowdstrike encontrou vítimas dessa ferramenta comprometida nos serviços financeiros, transporte, tecnologia e indústrias de mídia.
Essa escala e a grande variedade de seus usos criminosos fizeram de Danabot “um juggernaut do cenário de crime eletrônico”, de acordo com Selena Larson, pesquisadora de ameaças da equipe da empresa de segurança cibernética Proofpoint.
Mais exclusivamente, porém, a Danabot também tem sido usada às vezes para hackear campanhas que parecem ser patrocinadas pelo Estado ou vinculadas aos interesses da agência governamental russa. Em 2019 e 2020, foi usado para atingir um punhado de funcionários do governo ocidental em aparentes operações de espionagem, de acordo com a acusação do DOJ. De acordo com ProvaPointo malware nesses casos foi entregue em mensagens de phishing que personificaram a Organização de Segurança e Cooperação na Europa e uma entidade do governo do Cazaquistão.
