Gangues de ransomware lavam bitcoins em locais específicos, dizem os pesquisadores

Está começando a parecer que a indústria de ransomware está desenvolvendo sua própria versão do 1%, onde um pequeno número de jogadores desfruta da maior parte da riqueza.

Investigadores de crimes cibernéticos sugeriram que a tendência crescente de demandas de dinheiro de ransomware cada vez maiores e a frequência de ataques não é obra de um grande número de criminosos, mas sim o resultado de  uma economia de mercado negro especializada  em que os hackers colaborarão com diferentes conjuntos de habilidades em uma violação em seguida, divida o produto. Na verdade, um número relativamente pequeno de grupos de ataque parece constituir a maior parte dessa economia de mercado negro, oferecendo seu software malicioso por meio de aluguel e, em seguida, obtendo uma boa parte dos lucros e contando com a lavagem de dinheiro para cobrir seus rastros. 

Os pesquisadores agora estão rastreando mais dessa atividade por meio do blockchain, um livro-razão acessível por meio do qual  as transações públicas de bitcoin  são registradas. Quando as vítimas de ransomware pagam aos atacantes para desbloquear seus sistemas e descriptografar seus dados, eles geralmente usam bitcoin, apenas para que a transação seja registrada no blockchain. Uma nova análise dos endereços de depósito de bitcoins vinculados a grupos de ataque oferece pistas sobre as relações financeiras dos hackers e a maneira como eles movimentam seus fundos roubados.

A Chainalysis, uma empresa de software que monitora movimentos públicos de criptomoedas e fornece ferramentas para agências de aplicação da lei, rastreou US $ 348,6 milhões em bitcoins que viajaram por carteiras de ransomware conhecidas, de  acordo com descobertas fornecidas exclusivamente à CyberScoop . As tendências identificadas pelo Chainalysis podem colher ganhos para os investigadores, disse a empresa.

Ao extorquir as vítimas, os atacantes de ransomware movem a grande maioria de seus fundos, cerca de 82%, para criptomoedas e misturadores – serviços que combinam criptomoedas de várias fontes para ocultar seu local de origem. Os invasores investem outros fundos em endereços de depósito bitcoin específicos, que funcionam como contas bancárias públicas para moeda virtual. 

Uma inspeção mais detalhada desse ecossistema sugere que apenas 199 endereços de depósito receberam 80% de todos os fundos enviados por grupos de ransomware em 2020. Do total de 199, 25 contas coletaram 46% dos fundos. Embora a identidade dos titulares das contas permaneça obscura, as evidências iniciais sugerem que um pequeno número de operadores de ransomware está distribuindo pagamentos regulares a colaboradores frequentes ou usando os mesmos endereços de depósito para lavar seus fundos. 

“Estamos vendo os rampas de para onde esse dinheiro ilícito está indo”, disse Kim Grauer, chefe de pesquisa da Chainalysis. “Podemos ver que um endereço pertence a um afiliado se uma conta estiver recebendo consistentemente, digamos, 60% de um pagamento.” 

As descobertas do Chainalysis vêm no momento em que o setor privado e as agências internacionais de aplicação da lei estão lutando para acompanhar o ritmo das gangues de ransomware. O número de ataques contra escolas, hospitais e empresas de manufatura aumentou em 311% relatados no ano passado, com demandas agora regularmente excedendo  US $ 10 milhões de grandes alvos corporativos . 

A maioria dos suspeitos de hackers evitou a apreensão, seja por sua localização fora da jurisdição dos Estados Unidos ou porque o número de ataques sobrecarregou os investigadores americanos. Se a maioria dos grandes hackers estão sacando seus fundos de um pequeno número de carteiras de bitcoin conhecidas, no entanto, isso poderia fornecer aos investigadores uma oportunidade de desincentivar os esforços de extorsão, disse Grauer. 

“Se não houver maneira de sacar, então [as vítimas] têm o potencial de recuperar seus fundos”, disse ela.  

Pesquisadores da empresa de segurança TrendMicro e da empresa de inteligência de ameaças Intel471, que reúne dados sobre suspeitos de criminosos cibernéticos, disseram anteriormente que um único ataque de ransomware pode envolver um grupo especializado em desenvolvimento de malware e outro em derrotar software antivírus e outros profissionais de nicho.  

Um desenvolvedor de malware, por exemplo, pode aproveitar sua reputação no submundo do crime cibernético para contatar um corretor de dados ilícito com acesso a redes de hackers em uma empresa específica. A parceria pode então se expandir para incluir especialistas capazes de explorar o acesso à rede para infectar a organização, e então um serviço de negociação que lida com conversas diretas com uma empresa violada ou seus advogados. Cada entidade recebe um corte, aumentando a eficiência do hack e o tamanho da demanda. 

Investigadores americanos, por exemplo, dizem que pegaram o operador de ransomware Maksim Yakubets se gabando para um associado que trabalha com “duas equipes que trabalharam com seu malware e botnets e que cada equipe tem seus próprios spammers”, de acordo com uma acusação. 

O Internet Crime Complaint Center do FBI recebeu 2.047 reclamações de ransomware de vítimas dos EUA em 2019 , os números mais recentes disponíveis do bureau, resultando em perdas ajustadas de cerca de US $ 8,9 milhões. Com uma aparente escassez de dados, o FBI se voltou para a indústria de seguros e empresas de segurança para reunir mais informações sobre grupos de hackers, suas tendências, demandas e talvez colher insights que podem levar à sua apreensão.

Fonte: https://www.cyberscoop.com/