Recentemente falamos sobre como o crime cibernético organizado está composto por gangues que cumprem diferentes funções dentro da cadeia de suprimentos do crime.
Este tema produz muita curiosidade devido ao pouco que é sabido disto. Todos falam dos ataques mas poucos falam sobre como esses ataques são produzidos e como é que tudo acontece por trás do que é narrado nas notícias.
As gangues do crime cibernético têm adotado tanta importância quanto as antigas gangues que atacavam bancos, por exemplo. Os roubos presenciais mudaram em grande parte ao mundo digital e mobilizam operações muito maiores, de milhões de dólares com, teoricamente, menores riscos de ser descoberto.
Sobre o último aspecto é preciso fazer uma pausa, pois embora seja sim mais difícil deixar rastro no mundo digital, muitos desses crimes são igualmente descobertos, pois atualmente existem departamentos de inteligência especializados na investigação de crimes cibernéticos.
Algumas das gangues mais conhecidas (e perigosas) são:
1. Cobalt Cybercrime Gang
Responsável pelos ataques de malware Carbanak e Cobalt, seu foco estava nas instituições financeiras.
O modo de ataque deste grupo criminoso consistia em mandar spear-phishing com anexos maliciosos aos funcionários dos bancos. A gangue realizava este tipo de ataque antes de se infiltrar completamente, pois passavam meses com acesso à rede observando e estudando as operações e fluxos de trabalho.
Suas campanhas de cibercrime permitiram que esta gangue roubasse mais de USD 11 milhões por roubo.
Também foi conhecida por realizar um ataque que levou o nome de Jackpotting, no qual os criminosos configuraram os caixas eletrônicos para distribuir dinheiro em determinados lugares em horários definidos. Assim, uma pessoa responsável só ia no lugar e coletava o dinheiro.
O motivo pelo qual falamos desta gangue em tempo passado é porque as atividades dela cessaram parcialmente no ano 2018 quando o autor intelectual foi preso. Porém, falamos parcialmente visto que ainda existem especialistas que têm observado crimes semelhantes em outros bancos e por esse motivo acreditam que esta gangue segue realizando ataques dirigidos pelos outros integrantes.
2. Lazarus Gang
Também têm recebido outros apelidos por parte da cibersegurança, como Hidden Cobra (pela inteligência dos Estados Unidos) e Zinc (pela Microsoft).
O grupo está radicado na Coreia do Norte e há pessoas, incluindo ao The United States Federal Bureau of Investigation (FBI), que acreditam que possa até estar patrocinado pelo estado norte-coreano.
Esta gangue foi a responsável por vários ataques importantes, entre eles:
- Ciberataques à Coreia do Sul (2009 e 2013): As diferenças entre Coreia do Norte e Coreia do Sul não são um segredo e no ano 2009 a gangue Lazarus fez um ataque gigante do tipo DDOS a computadores localizados na Coreia do Sul. Após esse ataque, realizaram outro no ano 2013 que afetou a 3 organizações, institutos financeiros e um ISP (provedor de serviços de internet), todas as vítimas localizadas na Coreia do Sul.
- Vazamento da Sony Pictures (2014): A gangue infectou a rede corporativa e teve acesso a terabytes de dados que incluíam filmes ainda não revelados, informações confidenciais e e-mails de mais de 4000 funcionários. Além disso, os crackers começaram a ameaçar vazar dados publicamente, caso existisse resistência em obedecer às petições da gangue.
- WannaCry Ransomware (2017): Embora, ainda não esteja completamente comprovado que a Lazarus foi o autor, Microsoft, por exemplo, afirma que foi sim. Este ataque afetou até 300.000 computadores em todo o mundo. Isso paralisou várias empresas e organizações, incluindo o NHS do Reino Unido, que teve perdas de cerca de US $100 milhões.
Estes são alguns dos maiores ataques conhecidos atribuídos a esta gangue, mas a lista é mais longa.
3. MageCart Syndicate
Este não é um único grupo de crackers e sim um “sindicato” de vários grupos cibercriminosos dedicados ao golpe do comércio eletrônico, mas ele tornou-se conhecido pelo roubo de dados de clientes e cartões de crédito. Assim, suas vítimas sempre são sites de compras ou que precisam inserir alguma forma de pagamento.
Criaram uma forma de skimming de software, um malware que sequestrava sistemas de pagamento em sites de e-commerce, esse malware registrava e salvava os detalhes de cartão de crédito.
Em 2018, por exemplo, a British Airways sofreu uma violação massiva de dados por um grupo MageCart. O ataque comprometeu as informações pessoais e financeiras de 380.000 clientes. Mas o ataque à companhia aérea foi apenas a ponta do iceberg.
Após uns dias desse ataque, a varejista de hardware Newegg foi vítima também de uma campanha massiva de skimming, e depois disso outro ataque comprometeu 40.000 informações de clientes da Ticketmaster. É sabido que a MageCart esteve por trás do ataque à Newegg e acredita-se que esteja por trás do ataque à Ticketmaster também.
4. Evil Corp
Baseada na Rússia, já tem roubado milhões de dólares atacando diferentes empresas e instituições financeiras, principalmente na Europa e nos Estados Unidos.
A Evil Corp tornou-se famosa pelo traiçoeiro Trojan bancário Dridex, que permitiu ao grupo do cibercrime coletar informações de login de centenas de bancos e instituições financeiras em 40 países e roubar a quantidade aproximada de US $100 milhões.
São tão atrevidos que os líderes até postaram fotos e vídeos com carros de alto custo e um estilo de vida luxuoso que foram virais na internet. Já foram indiciados a julgamento nos EUA, porém até agora ninguém foi preso e especialistas acreditam que será difícil julgá-los.
Mesmo depois da acusação, o grupo continuou suas atividades e em 2020 foram associados a uma série de novos ataques a pequenas empresas. Além disso, é sabido que a Evil Corp está por trás dos ataques do conhecido ransomware WastedLocker que afetou oito empresas da Fortune 500 no ano passado.
5. Gang GozNym
Esteve por trás da criação de um poderoso Cavalo de Tróia, o GozNym, que evita a detecção por parte de soluções de segurança. Este cavalo foi um híbrido entre o Nymaim e o Gozi que ao se unificar resultou em um poderoso malware capaz de se infiltrar nos computadores por meio de anexos ou links de e-mail malicioso e ficar virtualmente indetectável na espera que o usuário acessasse uma conta bancária.
Uma vez que conseguiam ser partícipes do acesso, os dados ficavam registrados e os fundos eram roubados, desviados e, em seguida, lavados. O ataque afetou mais de 41.000 computadores e roubou correntistas de cerca de US $ 100 milhões no total.
Como funcionam estas gangues?
Já falamos anteriormente, e de forma geral, sobre como funciona a cadeia de suprimento deste crime organizado. Mas é interessante entender como funcionam essas gangues também de forma interna. Sua estrutura e organização é quase como uma empresa, pois gangues como a GozNym contam inclusive com um líder parecido a um CEO, que é quem organiza toda a operação e trabalha com equipes que dividem suas funções em diferentes tarefas.
Isso torna possível que esses grupos se infiltrem e ocasionam esse nível de prejuízo. É por isto que a justiça segue pesquisando e estudando este tipo de gangues, pois entender como eles operam é uma das etapas principais para vencer a luta contra o crime cibernético. Os especialistas esperam que, ao estudá-los, eles possam impedir os ataques antes que aconteçam.